数证杯决赛——个人赛

容器挂载密码：
4zL!$WpRkmANv@XFQ#7HdEyU&GpoTb56YZ^Jq83!Wr(tqA%XsPB7f@CY1xRmKH9#Le*WVG9NuvT$kJ2@7b64Tp(FLM#zqRY8Hv%!KU^9C&YXL*powq87Hr
检材下载链接：
链接:https://pan.baidu.com/s/12ZZnIfc7ifYoTNi9H8ZqsA?pwd=5g81 
提取码:5g81

计算机部分

1. [填空题]

计算机中曾挂载的Bitlocker加密分区的恢复密钥后6位为？（答案格式：6位数字） (1分)

2. [填空题]

请写出曾远程连接过该计算机的IP；（答案格式：6.6.6.6） (1分)

192.168.50.227

3. [填空题]

计算机中曾挂载的vhd非加密分区驱动器号为？（答案格式：大写，如D） (1分)

发现计算机中一共有两个vhd虚拟磁盘

仿真起计算机尝试挂载一下两个虚拟磁盘发现这个996600.vhd可以直接挂载挂载后盘符是M

而另一个338899挂载上是被bitlocker加密的上面咱们密钥也拿到了也能挂载但是挂上是空的没啥用

4. [填空题]

接上题，分区中最后修改时间的文件MD5值为？（答案格式：全大写） (1分)

D5F560E72A5BE2FF518DA52BBCF2EB8E

回到刚才挂载的M盘看一下最后修改的文件是direct_url.json

我直接往里面传一个fHash算md5 hhh 按要求进行大写

当然用命令也可以

certutil -hashfile direct_url.json MD5

5. [填空题]

请找到计算机中的Veracrypt加密容器，并写出其解密密码？（答案格式：字母大小写与实际需一致） (6分)

1P2P3$$PIAN5P6P78PIAN

在/Document/DYPG/文件夹下找到一个npbk文件

开始以为这个是vc容器放到passwarekit之后发现竟然识别出来是个7z压缩包改后缀解压发现是个nox的嵌套镜像放到火眼中继续分析

在微信聊天记录中找到vc容器密码图片

6. [填空题]

请写出IP为202.113.81.243的发件人向机主发送的邮件附件MD5值；（答案格式：全大写） (1分)
补充：题干中所述发送的邮件指的是某IP向机主发送的最后一封邮件！

6CF25FFF7D2882DBF5722B3B9E382B5F

直接在结果中过滤一下发件人ip 因为是最后一封邮件所以对应的附件应该是新建文件夹(2).rar 算一下md5

7. [填空题]

计算机中Will Wight - Cradle Series (Books 1-12)- MOBI.torrent文件的下载地址为？（答案格式：http://...） (1分)

http://suprbaydvdcaynfo4dgdzgxb4zuso7rftlil5yg5kqjefnw4wq4ulcad.onion/attachment.php?aid=4130

8. [填空题]

 计算机中lqrazqq016j41.jpg文件的删除时间为？（UTC+0800）（答案格式：1990-01-01 01:01:01） (1分)

2024-11-09 21:59:48

9. [填空题]

Fikret Ceker曾经向机主发送过一张照片，请找到该图片写出其拍摄的GPS坐标；（答案格式：保留小数点后4位，如33.3333N,33.3333E） (3分)

40.0112N,112.7000E

在邮件记录中找到发送的图片导出来

转一下就行了

10. [填空题]

计算机中用户“李四”在最后一次成功登录之前登录失败了多少次？ （答案格式：纯数字） (3分)

手机部分

1. [填空题]

 分析手机检材，写出苹果手机的序列号是多少？（答案格式：大小写与实际需一致） (1分)

FK3XDN2UKPJ5

2. [填空题]

分析手机检材，写出嫌疑人facebook账号的密码是多少？（答案格式：大小写与实际需一致） (1分)

1234qwer

3. [多选题]

分析手机检材，下列哪些地址是嫌疑人曾经去过的？ (2分)

A. 南宁市青秀区

B. 南宁市江南区

C. 济南市历城区

D. 上海市松江区

E. 上海市宝山区

AD

首先第五个是很好找到的高德地图解析出来的有很多是宝山区

第一个就是在翻图片的时候先是发现有个手机截图里面提到南宁建政路

ai问了一下确实是在青秀区

后面在手机拍照的图片中也找到了建政路美食街的图片证明去过

4. [填空题]

分析手机检材，嫌疑人安装了用于记账的APP，请问该APP的包名是什么？（答案格式：com.abc.abc） (1分)

com.maicai.freejizhang

5. [填空题]

分析手机检材，嫌疑人记账APP中记录的使用支付宝支付的用于礼金红包的金额一共是多少？（答案格式：请写整数金额，如1230元） (5分)

170000元

也是要翻数据库

用navicat打开

首先在TBL_ACCOUNTINFO表中看到使用支付宝支付对应的uuid是7EB78B8F64E24EB6956DC9DB44720794

再在TBL_OUTGOCATEGORYINFO表中看到礼金红包对应的uuid应该是1701

然后找到TBL_TRADE表中记账的明细蓝框中的部分才是又满足是支付宝支付又是礼金红包的金额

看到左侧的money列对应加起来是17000000 但是因为数额太大猜测应该是以分为单位所以应该是170000元

6. [填空题]

分析手机检材，嫌疑人家里路由器密码是多少？（答案格式：大小写与实际需一致） (3分)

201808188

这里是继续翻应用程序找到一个锤子便签

直接搜包名找数据库

7. [填空题]

分析手机检材，写出嫌疑人最新家庭地址；（答案格式：XX市XX区XX路XX弄 (1分)

上海市浦东新区张杨北路2899弄

8. [填空题]

分析手机检材，嫌疑人团伙走私的“大麻”的单价是每克多少元？（答案格式：XX元/克） (5分)

这个根据微信聊天记录

先让发货的价格然后对面发了个图片后面又发了个看着很像密码的东西这不得不让人怀疑我们先来找这个图片找到导出

放010中看一下发现其实是个png 改了后缀名在放进去发现文件末尾有冗余数据

直接在010里面提出来另存为这里可以使用magika工具来识别类型是个cdf文件

用WPS打开发现需要输入密码用上面的mm20241105 打开看到大麻价格

网络流量部分

1. [填空题]

分析网络流量包，请问目录遍历攻击开始时间是什么时候？（答案格式：1990-01-01 01:01:01） (1分)

2024-10-24 17:26:12

2. [单选题]

分析网络流量包，可以发现哪种攻击行为？ (1分)

A. 网络钓鱼

B. SQL注入

C. 拒绝服务攻击

D. 恶意软件传播

E. 中间人攻击

sql延时注入攻击

3. [填空题]

分析网络流量包，黑客获取到的数据库名称是？（答案格式：小写） (3分)

secret

4. [填空题]

分析网络流量包，黑客通过时间盲注获取到的数据是什么？（答案格式：与实际大小写保持一致） (6分)

th!s_1s_5ecret!

5. [填空题]

分析网络流量包，黑客使用什么webshell管理工具控制服务器？（答案格式：请写中文名，无需填写版本号） (3分)

冰蝎

一眼冰蝎

6. [填空题]

分析网络流量包，黑客通过后门执行的最后一条命令是什么？（答案格式：与实际大小写保持一致） (5分)

type login.php

服务器部分

1. [填空题]

重建完整的系统后，redis对外暴露的端口号是多少？（答案格式：数字） (3分)

2. [填空题]

请找出加密mysql数据库连接密码所用的加密密钥（盐值）？（答案格式：注意大小写） (3分)

找到用于部署网站的jar包

F*DZ-kZMs5qt

3. [填空题]

 请分析得出相亲网站的后台数据库中哪张表存放了会员相关信息，写出表名？ (6分)

a_member_st

进网站的步骤看下一题

可以看到会员相关信息，无法导出，这里使用全局搜索大法，选择一个联系方式去检材里搜

发现文件里有sql语句

a_member_st

4. [填空题]

已知用户在系统中的所有操作都会被记录，请找出用户在“查询角色”时，其请求的后端路径地址为？（格式：/api/query/...） (3分)

/zwz/role/getAllByPage

进数据库 /zwz/role/getAllByPage

5. [填空题]

请分析得出数据库用户表中status为-1状态值的含义为？（格式：学生） (1分)

禁用

新建一个用户，把password替换一下就可以用你新建的密码登录了

6. [填空题]

请统计平均月均收入第二高的省份（省份包含三大类：省、直辖市、自治区）（答案格式：请写出完整的省份名（或直辖市名、自治区名），如江西省、天津市、西藏自治区） (3分)

内蒙古自治区

第三题的sql语句全部复制到word里

使用最原始的方法统计

再删掉最前面和最后面的括号，简单的数据处理就做好啦，再粘贴到xlsx里面使用分列功能

再把引号去掉，同时删掉不需要的数据

=AVERAGEIFS(A:A, B:B, B1)  //xlsx是世界上最棒的编程语言

内蒙古自治区

APK部分

1.

分析APK检材，请问程序申请了几项系统权限?格式:6)(2分)

2.

分析APK检材，请写出程序的入口邀请码,(答案格式:与实际大小写保持一致)(6分)

ABCDEF

从入口函数看是从so文件加载的

拆包定位对应函数名发现明文比对

3.

分析APK检材，该程序进行恶意行为时保存的文件使用的加密算法及加密模式是?(答案格式:大写，如XXX-XXX)(1分)

AES-GCM

XXX-XXX盲猜AES

验证：

4.

分析APK检材，该程序进行恶意行为时保存的文件使用的加密密钥的？（答案格式：与实际大小写保持一致）（3分）

0123456789abcdef0123456789abcdef

根据前一题定位到AES加密调用部分，bArr2是密钥，一路向上追踪发现是从GalleryActivity获取的，stringFromJNI()说明是来自so文件

跟进到GalleryActivity发现还是来自前面用到的so文件

根据java层代码，发现是aes128，截取前16位

5.

分析APK检材，该程序上传文件的服务器通信URL是多少?(答案格式:https://xxxx/xx/xx)(1分)

https://biwuzhuanyongurl.com/upload

一分的题，估计是直接写了明文，根据提示https直接搜

6.

分析APK检材，以下哪个是该程序存在的恶意行为?(1分)

提示很多：

aes加密这里是图片相关

全篇都是camera相关

基本上可以确定是拍照并上传，现在要确定是前置还是后置猜也是前置，恶意软件调用前置获取人脸等敏感信息

搜front发现确实是前置

前面题目aes部分、url部分都在k类里面，翻一下k类也能看到前置摄像头

数据分析部分

1. [填空题]

分析数据库检材，该数据库中会员姓名包含“强”字的会员数量为多少？（答案格式：纯数字） (1分)

检材给到一个sql文件我们首先要先把这个sql文件加载到我们本地的数据库中看到这个数据库名为geren

我们就用navicat连上本地数据库之后新建一个名为geren的数据库然后右键导入数据库就行

直接运行sql查询语句

2. [填空题]

属于会员id“89378”的直接下级用户数为多少？（答案格式：纯数字） (1分)

3. [填空题]

请计算每名会员的总返佣金额，写出总返佣金额最大的会员id；（答案格式：纯数字） (3分)

4. [填空题]

计算在2024年5月1日到2024年5月30日之间（包含5月1日和5月30日），总提现金额大于1000的用户数量；（答案格式：纯数字） (5分)