2024獬豸杯WP

发表于

附件: https://pan.baidu.com/s/1KYq_HkpPBHWCvWTzz6yzSw?pwd=xzcp
解压密码:都考100分

手机取证

使用网络泄露的Magnet AXIOM7.8 完成所有题目

手机基本信息

1、IOS手机备份包是什么时候开始备份的。(标准格式:2024-01-20.12:12:12)

就是解压后的文件夹名

image-20240128205228346

答案:20240115.14:19:44

2、请分析,该手机共下载了几款即时通讯工具。(标准格式:阿拉伯数字)

image-20240128205353733

在应用程序使用情况-”已安装应用“中即可看到

答案:3

3、手机机主的号码得ICCID是多少。(标准格式:阿拉伯数字)

image-20240128205601738

答案:89860320245121150689

4、手机机主登录小西米语音的日期是什么时候。(标准格式:20240120)

image-20240128205645951

答案:20240115

地图数据

5、请问嫌疑人家庭住址在哪个小区。(标准格式:松泽家园)

我以为这一题是社工,因为手机里有几张带有经纬度的图片,但定位也不是什么小区。

又以为是地图的截图的位置,结果也不是。

toto✌的wp里说是高德地图的搜索点:天铂华庭 。

其实我觉得这题不太好。

浏览器

1、Safari浏览器书签的对应数据库名称是什么。(标准格式:sqltie.db)

找到Safari的书签后点击“源”就自动调转到数据来源文件的位置

image-20240128205759155

image-20240128205853239

答案:Bookmarks.db

2、手机机主计划去哪里旅游。(标准格式:苏州)

image-20240128205932495

答案:拉萨

即时通讯

首先是通过手机的图片确定嫌疑人使用的通信软件

image-20240128210147414

排除陌陌和QQ之后就只能是那个小西语音了,接下来就是找软件聊天记录

1、手机机主查询过那个人的身份信息。(标准格式:龙信)

七找八找就翻到了聊天记录的数据库文件

image-20240128210523074

答案:龙黑

2、请问机主共转多少费用用于数据查询。(标准格式:1000)

image-20240128210553283

答案:1100

3、机主查询的信息中共有多少男性。(标准格式:阿拉伯数字)

手机里还有个手机短信发来的手机号身份证信息的图,根据身份证号倒数第二位即可判断性别,男性为奇数。

image-20240128210840751

需要注意的是前8个人身份证号都是全的,后面两个要么根据名字猜测一下要么瞎猜(

答案:4

其他有用信息

在取证比赛以及实践中,证据总是交叉的,这里记录一下我们在手机中发现的可能有用的东西

  1. 短信提示我们嫌疑人喜欢用生日做密码

image-20240128211137437

  1. 嫌疑人手机号为:+8617712681561
  2. 备忘录中记录了两条像密码的信息
    1. PCBL:Longxin@123
    2. 0110

计算机取证

感谢赛事组织方提供的取证大师

PS:当载入检材的时候就会提示有bitlocker加密分区,结合手机中的PCBL就能猜到密码是Longxin@123

基本信息

1、计算机系统的安装日期是什么时候。(标准格式:20240120)

image-20240128211618802

答案:20240112

系统痕迹

1、请问机主最近一次访问压缩包文件得到文件名称是什么。(标准格式:1.zip)

image-20240128220125462

答案:data.zip

数据库分析

1、还原数据库,请分析root用户最后一次更改密码的时间是什么时候。(标准格式:2024-01-20.12:12:12)

解锁Bitlocker之后挂载到本地,打开邮箱(\Program Files\Foxmail 7.2\Foxmail.exe)发现data.zip的压缩包密码

image-20240128220405478

爆破,启动!

image-20240128221755061

答案:15566666555

2、请问mysql数据库中共存在多少个数据库。(标准格式:阿拉伯数字)

image-20240128231856702

答案:5

3、员工编号为204200的员工总工资为多少元。(标准格式:阿拉伯数字)重建书库

image-20240128231204535

答案:488313

4、Finance部门中在1999年1月1日当天和之后入职的人员数量是多少名。(标准格式:阿拉伯数字)

根据team_list表显示,Finance部门对应的dept_no是d002

从hiredate中获取符合条件的雇员条目然后统计数量

image-20240128231822810

1
2
3
SELECT COUNT(*)
FROM `hiredate`
WHERE dept_no = 'd002' AND from_date >= '1999-01-01'

答案:1486

邮箱服务器

1、请问邮箱服务器的登录密码是多少。(标准格式:admin)

找到\hMailServer\Bin\hMailServer.INI,该文件记录了密码的MD5

image-20240128233648737

image-20240128233623494

答案:900110

2、邮件服务器中共有多少个账号。(标准格式:阿拉伯数字)

image-20240128232620315

答案:3

3、邮件服务器中共有多少个域名。(标准格式:阿拉伯数字)

感谢toto师傅指点迷津,我一开始还在研究重建呢。

“不是什么东西都能本机还原的”——toto

仿真起来之后,登录上服务器直接看就行

image-20240129005840420

答案:3

4、请问约定见面的地点在哪里。(标准格式:太阳路668号)

image-20240128222037855

根据邮件,街头地点在藏在图片中

答案:3

apk分析

基础题+一捏捏代码审计

使用JADX-GUI完成所有题目

1、APP包名是多少。(标准格式:com.xxx.xxx)

image-20240128201659167

答案:com.example.readeveryday

2、apk的主函数名是多少。(标准格式:comlongxin)

image-20240128201742843

答案:StartShow

3、apk的签名算法是什么。(标准格式:xxx)

image-20240128201922327

答案:SHA1withRSA

4、apk的应用版本是多少。(标准格式:1.2)

image-20240128201952113

答案:1.0

5、请判断该apk是否需要联网。(标准格式:是/否)

image-20240128202008242

答案:

其实就证据而言只看到这里是不够的,结合T6也能知道。

6、APK回传地址?(标准格式:127.0.0.1:12345)

正则匹配即可,模式串为:[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\:

image-20240128202241895

答案: 10.0.102.135:8888

7、APK回传数据文件名称是什么。(标准格式:1.txt)

顺着回传地址的代码就很容易找到以下内容,这是设置web请求头。

image-20240128202326704

答案:Readdata.zip

8、APK回传数据加密密码是多少。(标准格式:admin)

关键点就是找到文件如何生成的,容易想到搜索文件名Readdata.zipEncryFile这个函数让人一眼看穿

image-20240128202513828

image-20240128202705913

答案:19_08.05r

9、APK发送回后台服务器的数据包含以下哪些内容?(多选)
A.手机通讯录B.手机短信C.相册D.GPS定位信息E.手机应用列表

看函数名就知道了

image-20240128202758945

答案:ABE