第一部分

案情簡介

2021年4月25日，上午8點左右，警方接到被害人金某報案，聲稱自己被敲詐數萬元。經詢問，昨日金某被嫌疑人誘導裸聊，下載了某“裸聊”軟件，導致自己的通訊錄和裸聊視頻被嫌疑人獲取，對其進行敲詐，最終金某不堪重負，選擇了報警。警方從金某提供的本人手機中，定向采集到了該“裸聊”軟件的安裝包—zhibo.apk（檢材一）。請對檢材一進行分析，獲取證據，并根據線索解鎖更多檢材，深入挖掘出更多與案件有關的信息。

（題目 中需要通過分析出來的答案對檢材二三四五解壓，解壓密碼為IP的情況，需要在密碼后增加-CAB2021，例： 192.168.100.100-CAB2021）

檢查哈希值

本次題目采用VeraCrypt加密容器發放，用VeraCrypt將檢材解密，然后掛載，然后我們就得到了一個apk文件和一個檢材二的壓縮包。

容器密碼：

2021第三屆CAB-changancup.com

該文件的哈希校驗值（MD5）如下：

檢材一&二：206f967d6c7ae8477a849e7a7eeedc5e檢材三：99989bdb5720a41f412cd91d2ad76ea1檢材四：d8a7554372f4dc1028c4d2379268f701檢材五：a2ae74451931ea5b010d2df2a4abcb98

注意事項：

解密密碼會在比賽前15分鐘發放，請使用VC程序加載容器文件,并使用解密密碼進行解密；

題目中需要通過分析出來的答案對檢材二、三、四、五解密，檢材二需要直接使用答案解壓，檢材三、四、五通過VC發放，解密密碼為IP，需要在密碼后增加一段鹽值，該值會在比賽時題目里面有說明，請大家注意，例：192.168.100.100-salt。

第一題 請計算檢材一Apk的SHA256值

使用windows自帶的計算工具

certutil -hashfile 檢材一-zhibo.apk sha256

3fece1e93be4f422c8446b77b6863eb6a39f19d8fa71ff0250aac10f8bdde73a

第二題 該APK的應用包名為

使用GAD分析，得到

plus.H5B8E45D3

第三題該APK程序在封裝服務商的應用唯一標識（APPID）為

唯一標識appid 是對apk的打包工具的記錄 可以去調取注冊打包工具人的詳細信息

H5B8E45D3

可以使用雷電APP智能分析，直接得到，也可以了用jadx工具分析得到assets/data/dcloud_control.xml

第四題 該APK具備下列哪些危險權限(多選題)：

A.讀取短信 B.讀取通訊錄 C.讀取精確位置 D.修改通訊錄 E.修改短信

第五題 該APK發送回后臺服務器的數據包含一下哪些內容(多選題)：

A.手機通訊錄 C.手機號碼 D.驗證碼 E.GPS定位信息

將該apk安裝至模擬器，點擊發現出現 “內涵一點”，直接用jadx搜索

進入該html發現一段代碼，使用sojson.v4加密，解密

https://ctf.bugku.com/tool/sojson4

解密得到

A.手機通訊錄 C.手機號碼 D.驗證碼 E.GPS定位信息

第六題 該APK程序回傳通訊錄時,使用的http請求方式為（）

抓包得到POST

第七題該APK程序的回傳地址域名為【標準格式：www.abc.com】

見上

www.honglian7001.com

第八題 該APK程序代碼中配置的變量apiserver的值為（后面不帶/）

見5題sojson.v4解密

www.honglian7001.com/api/uploads var apiserver ='http://www.honglian7001.com/api/uploads/';

第九題 分析該APK，發現該程序還具備獲取短信回傳到后臺的功能，短信上傳服務器接口地址為【標 準格式：www.abc.com/abc】

在代碼60行左右能看到發送通訊錄的代碼

mui.ajax(apiserver +'apisms', www.honglian7001.com/api/uploads/apisms

第十題 經分析，發現該APK在運行過程中會在手機中產生一個數據庫文件，該文件的文件名為

使用雷電APP分析的Frida腳本里的SQLite數據庫，即可得到數據庫名為

test.db

第十一題 經分析，發現該APK在運行過程中會在手機中產生一個數據庫文件，該數據庫的初始密碼為

同上題，也可得到初始密碼為：

c74d97b01eae257e44aa9d5bade97baf

第二部分

用第7題的答案解壓縮檢材二

www.honglian7001.com

將檢材二使用火眼仿真軟件仿真出來

第十二題 檢材二的原始硬盤的SHA256值為

E6873068B83AF9988D297C6916329CEC9D8BCB672C6A894D393E68764391C589

第十三題 查詢涉案于案發時間段內登陸服務器的IP地址為

進入之后 嘗試history,發現命令比較少，使用下面的命令 轉到root用戶下，發現較多的history 可以使用重定向 將其導出

su root

根據檢材背景資料1得知，報案人是在21年4月25日報警的，所以查看4月25日之前登陸的IP，使用last命令看到ip是

192.168.110.203

第十四題 請對檢材二進行分析，并回答該服務器在集群中承擔的主要作用是（）【格式：文件存儲】

負載均衡

第十五題 上一題中，提到的主要功能對應的服務監聽的端口為：

80

cd /opt/honglianjingsai/chronusNode/ cat const.js

第十六題 上一題中，提到的服務所使用的啟動命今為：

在history中，也可以查看readme

node app.js

第十七題 經分析，該服務對于請求來源IP的處理依據是（）位進行判斷【標準格式：9】

3

cd /opt/honglianjingsai/chronusNode/controller cat ADProxy.js

第十八題 經分析，當判斷條件小于50時，服務器會將請求轉發到IP為（）的服務器上【標準格式：111.111.111.111】

cat ADProxy.js

192.168.110.111

第十九題 分析，該服務器轉發的目標服務器共有臺【標準格式：9】

3臺 同上 vi /etc/sysconfig/network-scripts/ifcfg-ens33

第二十題 請分析，受害者通訊錄被獲取時，其設備IP地址為

192.168.110.252 cd /opt/honglianjingsai/chronusNode/logs ll 發現4.24日志只有一個 cat 2021-4-24-6-26.log

第二十一題 請分析，受害者通訊錄被獲取后，經由該服務器轉發到了IP為（）的服務器上

192.168.110.113

第三部分

下面掛載檢材三：

用21題的答案加上鹽值-CAB2021，也就是

192.168.110.113-CAB2021

有三個web服務器，但只有其中一個有額外信息，也就是web3，因為他是IP地址大于100的，也就是本次詐騙所用的IP，在里面我們能找到更多的信息。火眼仿真和火眼取證一起上。

輸入bt 發現有寶塔面板

內網面板地址登錄 http://192.168.110.113:8888/12345678 賬號為hl123 選項5，修改新密碼為123456

第二十二題 檢材三的原始硬盤的SHA256值為：

請分析第21題中，所指的服務器的開機密碼為： 205C1120874CE0E24ABFB3BB1525ACF330E05111E4AD1D323F3DEE59265306BF

第二十三題 請分析第21題中，所指的服務器的開機密碼為：

在第四部分使用火眼分析

honglian7001

第二十四題 嫌疑人架設網站使用了寶塔面板，請問面板的登陸用戶名為：

hl123

鏈接寶塔時需要將本地虛擬機 虛擬網絡編輯器 調整至110網段，并關掉DHCP，也可以鏈接finalshells

連接finalshell,修改密碼

登陸成功

第二十五題 請分析用于重置寶塔面板密碼的函數名為

set_panel_pwd()

寶塔面板重置網站密碼功能調用的是tools.py
（由老版本寶塔充值密碼命令可知：cd /www/server/panel && python tools.py panel testpasswd）

分析tools.py

cat /www/server/panel/tools.py

第二十六題 請分析寶塔面板登陸密碼的加密方式所使用的哈希算法為

md5

在tools.py中使用vi搜索功能 /set 按n鍵進行跳轉，找到函數

第二十七題 請分析寶塔面板對于其獲認用戶的密碼一共執行了兒次上題中的哈希算法

3次,（初始一次MD5，后來又有兩次MD5拼接）

cat /www/server/panel/class/public.py可以使用vi /www/server/panel/class/public.py或者下載該文件搜索salt

第二十八題 請分析當前寶塔面板在加密過程中使用的salt值為【區分大小寫】

v87ilhAVumZL

cd /www/server/panel/data

發現default.db文件，將其下載，使用navicat打開，發現salt值

第二十九題 請分析該服務器，網站源代碼所在的絕對路徑為

/www/wwwroot/www.honglian7001

第三十題 請分析，網站所使用的數據庫位于IP為（）的服務器上，請使用該IP解壓檢材5，并重構網站

192.168.110.115 /www/wwwroot/www.honglian7001/app/databae.php

第三十一題 請分析數據庫的登陸密碼為

wxrM5GtNXk5k5EPX

第三十二題 請嘗試重構該網站，并指出，該網站的后臺管理界面的入口為【標準格式：/web】

參考網站

https://blog.csdn.net/qq_51233573/article/details/122668215 /admin

用第30題答案去vc加載檢材5，加載密碼：

192.168.110.115-CAB2021

加載完成之后將其使用FTK掛載，可讀可寫

然后進行RAID重組

創建塊虛擬RAID和自動檢測——將剛掛載的盤符拖動至父，然后自動檢測

點擊創建鏡像，逐字節鏡像，生成虛擬塊 RAID 2.dsk

使用火眼睛仿真對其進行仿真

這時候訪問，之前訪問本地訪問這個界面 因為沒有連接數據庫所以這里看不到界面

http://192.168.110.113/admin/common/login.shtml

第三十三題 .已該涉案網站代碼中對登錄用戶的密碼做了加密處理。請找出加密算法中的salt值【區分大小寫】

將其源碼拖出來審計一下 找到其定義密碼的函數找到其salt值

lshi4AsSUrUOwWV /www/wwwroot/www.honglian7001/app/admin

第三十四題 請分析該網站的管理員用戶的密碼為

在下面日志文件中可以找到

security \www.honglian7001\runtime\log\202104\24.log

第三十五題 在對后臺賬號的密碼加密處理過程中，后臺一共計算幾次哈希值

三次

如果找不到密碼 可以連接數據庫，重置密碼，將12345加密成MD5替換

連接時，發現空用戶導致連接數據庫無法連接

第一種方法：

vi /etc/my.cnf 在[mysqld]后面任意一行添加“skip-grant-tables”用來跳過密碼驗證的過程

點擊ESC 使用 :wq！保存并退出 使用 service mysqld restart 重啟MySQL服務 免密碼登陸（注：敲入 mysql -u www_honglian7001 -p 命令然后回車，當需要輸入密碼時，直接按enter鍵，便可以不用密碼登錄到數據庫當中）

第二種方法，直接可以使用mysql的SSH連接，使用ssh的賬號和密碼連接

登陸成功

第三十六題 請統計，后臺中，一共有多少條設備記錄

6002

第三十七題 請通過后臺確認，本案中受害者的手機號碼為

這里要注意時區 檢材二也就是負載均衡服務器是utc時區，檢材二中的日志記錄情況 在2021.4.24 6:37（utc時間）左右上傳了通訊錄 其對應的utc+8時間應為 當日14:37左右手機型號也能對上 由此可以得到受害者手機號碼

186644099137

第三十八題 請分析，本案中受害者的通訊錄一共有多少條記錄

34

第四部分

通過對檢材二和三進行分析，警方通過IP落地，警方掌成功抓獲犯罪嫌疑人，現將嫌疑人的PC機和手機進行了取證，分別制 作了鏡像，請使用第13題的答案對檢材四進行解密，并回答下列問題

192.168.110.203-CAB2021

第三十九 請計算檢材四-PC的原始硬盤的SHA256值

E9ABE6C8A51A633F809A3B9FE5CE80574AED133BC165B5E1B93109901BB94C2B

第四十題 請分析，檢材四-PC的Bitlocker加密分區的解密密鑰為

使用取證大師分析

511126-518936-161612-135234-698357-082929-144705-622578

使用密鑰串進行解密

然后點擊上方自動取證，重新使用取證大師進行取證

第四十一題 請分析，檢材四-PC的開機密碼為

12306

MD5解密

38a236fbdf9d8e7f074fede16cafe250

或者將恢復密鑰填進火眼仿真中，即可自動獲取PC的開機密碼

第四十二題 經分析發現，檢材四-PC是嫌疑人用于管理服務器的設備，其主要通過哪個瀏覽器控制網站后臺

Google Chrome

第四十三題 請計算PC檢材中用戶目錄下的zip文件的sha256值

0DD2C00C8C6DBDEA123373F91A3234D2F07D958355F6CD7126E397E12E8ADBB3

找到該文件，點擊上面工具 哈希計算

第四十四題 請分析檢材四-phone，該手機的IMEI號為

使用火眼證據分析軟件分析手機鏡像

868668043754436 868668044204431

第四十五題 請分析檢材四-phone，嫌疑人和本案受害者是通過什么軟件開始接觸的

伊對

第四十六題 請分析檢材四-phone，受害者下載惡意APK安裝包的地址為

https://cowtransfer.com/s/a6b28b4818904c

第四十七題 請分析檢材四-phone，受害者的微信內部ID號為

wxid_op8i06j0aano22

第四十八題 請分析檢材四-phone，嫌疑人用于敲詐本案受害者的QQ賬號為

1649840939

第四十九題 請綜合分析，嫌疑人用于管理敲詐對象的容器文件的SHA256值為

導出前面提到的“我的賺錢工具”，嘗試使用12306進行解密壓縮包，得到一個虛擬機鏡像，用虛擬機打開，發現有開機密碼，使用仿真軟件加載（選擇那個不帶后綴0002的鏡像），得到密碼money

尋找一番無果，發現有快照，還原快照

點開我的電腦，點擊快速訪問，發現有一個叫 小白鼠 的文件，密鑰文件為key.zip，之后用VeraCrypt進行解密

計算小白鼠的SHA256得，也可以在取證大師中加載虛擬機文件

9C4BE29EB5661E6EDD88A364ECC6EF004C15D61B08BD7DD0A393340180F15608

容器加載完成

第五十題 請綜合分析嫌疑人檢材，另外一受害者“郭先生”的手機號碼為

打開郭先生的文件夾

15266668888

第五十一題 通過嫌疑人檢材，其中記錄了幾位受害者的信息

5

第五十二題 請使用第11題的密碼解壓“金先生轉賬.zip”文件，并對壓縮包中的文件計算SHA256值

解壓密碼 c74d97b01eae257e44aa9d5bade97baf SHA256 cd62a83690a53e5b441838bc55ab83be92ff5ed26ec646d43911f119c15df510命令 certutil -hashfile 金先生轉賬.jpg sha256

第五十三題 請綜合分析，受害者一共被嫌疑人敲詐了多少錢（轉賬截圖被隱藏在多個地方）

6600

支付寶提醒助手里面

伊對 金先生聊天記錄里面

微信聊天記錄里面

虛擬機壓縮包里面

數據庫里面，找到我的賬單 右鍵保存數據為1.jpg

600+1000+2000+2000+1000=6600

也可以移步至公眾號查看

總結

以上是生活随笔為你收集整理的2021年长安杯电子数据取证比赛复盘完整版（wp）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。