2023龙信杯wp

打了好像70多分,没拿奖,因为一些众所周知的原因,复盘间隔时间太长了没什么印象了已经

案情简介

  2023年9月,某公安机关指挥中心接受害人报案:通过即时通讯工具添加认识一位叫“周微”的女人,两人谈论甚欢,确定网上恋爱关系,后邀约裸聊,受害人上钩后,“周微”和受害人进行裸聊,整个过程被涉诈团伙录音录像。同时周倩以自己做直播“涨粉”为由,引导受害人下载其事先制作好的木马APP,受害人安装该APP后,嫌疑人利用录制的视频和受害人的通讯录做要挟,从而实施诈骗。 

  公安机关接警后,通过技术手段抓取了一段流量包,且通过公安机关的侦查与分析,锁定了该诈骗团伙的业务窝点,具了解,该团伙成员通过Telegram 联系ETH币商收币,双方在线上确定好了交易时间和交易金额(交易额为300万人民币),并先由卖币方转0.5个ETH到买币方钱包。双方人员碰头后,商定分两笔交易交割,第一笔交易价值100万的虚拟货币、第二笔交易价值200万的虚拟货币。第一笔100万的币从卖币方的地址转到中转地址(由中间人控制),再由中转地址转到买币方提供的收币地址,买币方收到币后将带来的100万现金给卖币方清点,第一笔交易完成。 犯罪分子开始第二笔交易时,被警方当场截获。并将相关嫌疑人抓获,扣押安卓手机1部,笔记本电脑1台,调证服务器2台。

检材清单

对象

检材类型

检材名称

嫌疑人

电脑

计算机镜像.7z

手机

手机镜像.7z

调正数据

服务器1

服务器镜像1.7z

服务器2

服务器镜像2.7z

公司

流量包

流量包.7z

移动终端取证

1.请分析涉案手机的设备标识是_______。(标准格式:12345678)

85069625


2.请确认嫌疑人首次安装目标APP的安装时间是______。(标准格式:2023-09-13.11:32:23)

2022-11-16.19:11:26

app是甜心蜜聊.apk

安装时间2022-11-16.19:11:26,注意给定格式


3.此检材共连接过______个WiFi。(标准格式:1)

6


4.嫌疑人手机短信记录中未读的短信共有______条。(标准格式:12)

17

短信数据库mmssms.db,位于\userdata\data\com.android.providers.telephony\databases,sms表中read=0代表未读


5.嫌疑人检材手机在浏览器中下载海报背景图的网址是_______。(标准格式:http://www.baidu.com/admin/index.html)

 http://m.ziyuanhu.com/pics/1725.html

下载的是个车钥匙

下载海报背景图的网址是这个


6.请分析涉案海报的推广ID是________。(标准格式:123456)

114092


7.嫌疑人通过短信群发去推广APP,请问收件人中有__个号码是无效的。(标准格式:12)

1

只有这一个


8.通过分析,嫌疑人推送的微信账号是______。(标准格式:Lx20230916)

Gq20221101


9.请校验嫌疑人使用的“变声器”APK的包名是________。(标准格式:com.baidu.com)

com.chuci.voice

魔法变声器com.chuci.voice


10.号商的联系人注册APP的ID是_________。(标准格式:12345678)

36991915


11.嫌疑人于2022年11月份在_______城市。(标准格式:成都)

苏州

12.嫌疑人共购买_______个QQ号。(标准格式:1)

8

APK取证

1.分析手机镜像,导出涉案apk,此apk的md5值是________。(标准格式:abc123)

d56e1574c1e48375256510c58c2e92e5

2.分析该apk,apk的包名是________。(标准格式:com.qqj.123)

lx.tiantian.com

甜心密聊的包名是lx.tiantian.com

3.分析该apk,app的内部版本号是__________。(标准格式:1.1)

1.0

根据包名找到apk

在摸瓜上分析一下


4.分析该apk,请问该apk最高支持运行的安卓版本是_______。(标准格式:11)

12

最低安卓4.3,最高12Android targetSdkVersion你真的了解吗?-CSDN博客


5.分析该apk,app的主函数入口是_________。(标准格式:com.qqj.123.MainActivity)

lx.tiantian.com.activity.MainActivity


6.分析该apk,请问窃取短信的权限名称是________。(标准格式:android.permission.NETWORK)

android.permission.READ_SMS


7.APP使用的OPPO的appkey值是________。(标准格式:AB-12345678)

OP-264m10v633PC8ws8cwOOc4c0w


8.分析apk源码,该APK后台地址是________。(标准格式:com.qqj.123)

http://app.goyasha.com/

在主函数里面


9.分析apk源码,APP 后台地址登录的盐值是_______。(标准格式:123abc=%$&)

73g=s%!lvi8h=i7a4ge*o3s@h2n^5_yk=-y#@p6)feidfjol8@


10.分析apk源码,该APK后台地址登录密码是______。(标准格式:longxin123)

lxtiantiancom


11.对 APP 安装包进行分析,该 APP打包平台调证值是______。(标准格式:HER45678)

H5D9D11EA


12.此apk抓包获取到的可访问网站域名IP地址是_______。(标准格式:192.168.1.1)

192.168.5.80


13.分析apk源码,该apk的加密方式key值是________。(标准格式:12345678)

ade4b1f8a9e6b666

搜encrypt,找加密函数


14.结合计算机镜像,综合分析,请问该apk开发者公司的座机号码是__。(标准格式:4001122334)

4008522366

龙信做的apk,猜一下应该就是他们自己公司的座机

介质取证

1.对PC镜像分析,请确定涉案电脑的开机密码是_______。(标准格式:123456)

Longxin360004

联网的情况下弘连能直接跑出来、

正常解法


2.涉案计算机最后一次正常关机时间_______。(标准格式:2023-1-11.11:11:11)

2023-09-16.18:20:34


3.分析涉案计算机,在2022年11月4日此电脑共开机时长为_______。(标准格式:1小时1分1秒)

13小时41分16秒

09:42:52+01:27:01+01:04:27+01:26:39+00:00:17


4.对PC镜像分析,请确认微信是否是开机自启动程序。(标准格式:是/否)


5.检材硬盘中有一个加密分区,给出其中“我的秘密.jpg”文档的解密内容。(标准格式:Longxin0924)

Mimi1234


6.接上题,请问该嫌疑人10月份工资是_______元。(标准格式:123)

19821

这一题答辩的时候提问到了印象非常深刻,上一题的答案是文件的解压密码,解开后还有一个工资条,一个加密的一个没加密的,考场上我把两个工资数据相加了,emm后来答辩老师告诉我这玩意类似于阴阳合同,加密的才是真实的emm有道理

 

7.对PC镜像进行分析,浏览器中使用过QQ邮箱,请问该邮箱的密码是______。(标准格式:Longxin0924)

Longxin@2023


8.结合手机镜像分析,得出一个推广ID,请在此检材找到此海报,请写出路径。(标准格式:D:\X\X\1.txt)

C:\Program Files (x86)\Tencent\WeChat\2.png

查看最近访问

blmm.TXT是BitLocker密码

上面的mmm.txt记录着两个海报路径

海报路径:C:\Users\Public\Documents\1221
海报路径:C:\Program Files (x86)\Tencent\WeChat

C:\Users\Public\Documents\1221\1.png

C:\Program Files (x86)\Tencent\WeChat\2.png

两个图片判断不出来,看下面的题,第10题要根据图片找银行卡号,2.png十六进制数值最后有银行卡号


9.请找出嫌疑人的2022年收入共_______。(标准格式:123)

205673

E盘有个容器,桌面上有truecrypt加密软件,缺秘钥,回收站里有个2022总收入的文件,原路径在M盘,应该是容器挂载的盘符是M

没想到秘钥是文件,2.png,emm脑洞可以,这一题放在这里也是个提醒

按思路走,成功还原回收站文件,求一下和即可


10.分析此海报,请找到嫌疑人的银行卡号。(标准格式:62225123456321654)

6320005020052013476

虚拟币分析

M盘里的111.npbk是夜神模拟器备份,随便开一个新的模拟器然后导入一下备份就行了,断网进

1.分析涉案计算机,正确填写中转地址当前的代币种类______。(标准格式:BNB)

ETH


2.分析涉案计算机,正确填写中转地址当前的代币余额数量_______。(标准格式:1.23)

4.4981
3.根据中转地址转账记录找出买币方地址。买币方地址:_____(标准格式:0x123ABC)

0x63AA203086938f82380A6A3521cCBf9c56d111eA

看案情

该团伙成员通过Telegram 联系ETH币商收币,双方在线上确定好了交易时间和交易金额(交易额为300万人民币),并先由卖币方转0.5个ETH到买币方钱包。双方人员碰头后,商定分两笔交易交割,第一笔交易价值100万的虚拟货币、第二笔交易价值200万的虚拟货币。第一笔100万的币从卖币方的地址转到中转地址(由中间人控制),再由中转地址转到买币方提供的收币地址,买币方收到币后将带来的100万现金给卖币方清点,第一笔交易完成。犯罪分子开始第二笔交易时,被警方当场截获。

0.5个ETH是直接卖到买,那买方地址就是收款地址


4.根据中转地址转账记录统计买方地址转账金额。转账金额:____ ETH.(标准格式:12.3)

150.5


5.在创建钱包时,应用APP都会建议我们进行助记词备份,方便以后忘记密码后找回钱包,在办案过程中时常会拿到犯罪嫌疑人备份的助记词的情况。请从以下三组助记词中判断出格式正确的一组( )

A. raw sausage art hub inspire dizzy funny exile local middle shed primary

B. raw sausage art hub inspire dizzy funny middle shed primary

C. raw sausage art funny exile local middle shed primary
A

12个单词

6.假设上题中正确的助记词为通过侦察找到的嫌疑人钱包助记词备份(已知地址属于以太坊链),请在模拟器中通过imToken APP恢复嫌疑人钱包,并选出正确钱包地址( )

A. 0xf0fF021880c4b1F79876E335c74d26DFa75DC9f9

B. 0x63AA203086938f82380A6A3521cCBf9c56d111eA

C. 0x0fd5F09C6Ba5Fd0aE6EbAFAF034913ACF7a0373A

B

根据上一题的助记词添加一个新钱包,密码随便填

流量分析

1.分析“数据包1.cap”,请问客户端为什么访问不了服务器。( )

A. DDoS攻击

B. DoS攻击

C. SQL注入

D. 文档攻击

B

10.5.0.19重复访问116.211.168.203

2.分析“数据包1.cap”,出问题的服务器IP地址是_______。(格式:127.0.0.1)

116.211.168.203
3.分析“数据包1.cap”,文件下发服务器的IP地址是_______。(标准格式:127.0.0.1)

120.210.129.29

流量分析不是很会
4.分析“数据包1.cap”,攻击者利用_______漏洞进行远程代码执行。(标准格式:XXX)

struts2

流量分析不是很会
5.分析“数据包1.cap”,请提取恶意文件,并校验该文件的MD5值为_______。(标准格式:abcd)

87540c645d003e6eebf1102e6f904197

流量分析不是很会
6.分析“数据包2.cap”,其获取文件的路径是________。(标准格式:D:/X/X/1.txt)

C:/Users/Administrator/Downloads/新建文件夹/新建文件夹/mail.png

导出http对象,确定文件位置,追踪http流


7.分析“数据包2.cap”,文件下载服务器的认证账号密码是_______。(标准格式:123)

passwd

  • Authorization:HTTP请求头中的一个字段,用于提供身份验证凭据。
  • Basic:是一种基本认证的方式。
  • YWRtaW46cGFzc3dk:是进行Base64编码后的用户名和密码组合。


8.分析“数据包2.cap”,其下载的文件大小有________字节。(标准格式:123)

211625


服务器取证1

1.服务器系统的版本号是_______。(格式:1.1.1111)

 7.9.2009 


2.网站数据库的版本号是_______。(格式:1.1.1111)

5.6.50


3.宝塔面板的“超时”时间是_______分钟。(格式:50)

120

登录宝塔面板,跳过绑定手机号

案例剖析:解决宝塔强制手机绑定问题的取证技巧与方法 (qq.com),确实好用


4.网站源码备份压缩文件SHA256值是_______。(格式:64位小写)

0bdeeacf755126dae9efd38f6a6d70323aa95217b629fd389e0e81f9b406be39


5.分发网站sb.wiiudot.cn管理员密码默认MD5加密盐值是_______。(格式:abcd)

lshi4AsSUrUOwWV

在网站代码里找


6.分发网站sb.wiiudot.cn一共存放了_______条通讯录数据。(标准格式:1234)

67277

使用navicat连接数据库

数据库的用户名和密码使用代码里的不对

my.cnf里面添加skip-grant-tables,再重启一下服务直接跳过密码

连接成功

app_mobile表存储通讯录数据


7.全部网站一共有_______名受害人。(格式:xxx。不去重,不进行数据恢复)

506

这题没看明白谁算受害人
8.分发网站tf.chongwuxiaoyouxi.com里面一共有_______位“组员级别”的管理员。(格式:数字)

26

tf.chongwuxiaoyouxi.com对应sanye123

id=22


9.分发网站sb.wiiudot.cn管理员名为“0820”的邀请码是_______。(格式:xxx)

443074


10.分发网站sb.wiiudot.cn本地数据库用户sb_wiiudot_cn的密码是_______。(格式:xxx)

网站代码里的那个不正确

正确的密码密文是039263BE30CCE60EAF9F5FBC40259F235BDA776F

解不出来,看了wp说在备份中

 果然

服务器取证2

1.请分析宝塔面板中默认建站目录是_______。(标准格式:/etc/www)

/home/wwwroot


2.在宝塔数据库目录有一个只含有一个表结构的数据库,请找到该“表结构文件”并分析出第六个字段的字段类型是_______。(标准格式:int(11))

CHAR(128)


3.请分析“乐享金融”网站绑定的域名是_______。(标准格式:www.baidu.com)

jinrong.goyasha.com


4.请访问“乐享金融”数据库并找到用户表,假设密码为123456,还原uid为2909,用户名为goyasha加密后密码的值是_______。(标准格式:abcdefghijklmnopqrstuvwsyz)

d2174d958131ebd43bf900e616a752e1

数据库是sjp

加密逻辑是md5(用户密码+utime)

uid为2909,用户名为goyasha,utime是1635837124


5.请重建“乐享金融”,访问平台前台登陆界面,会员登陆界面顶部LOGO上的几个字是_______。(标准格式:爱金融)


6.请分析“乐享金融”一共添加了_______个非外汇产品。(标准格式:5)

2

外汇是pcid=5

未被删除isdelete=0


7.请分析“乐享金融”设置充值泰达币的地址是_______。(标准格式:EDFGF97B46234FDADSDF0270CB3E)

85CF33F97B46A88C7386286D0270CB3E

泰达币是usdt


8.请分析“乐享金融”充值金额大于582402元的受害人充值总金额是_______。(标准格式:12345678)

101000087


9.请分析“乐享金融”银行卡号“6239039472846284913”绑定用户的用户名是_______。(标准格式:张三)

kongxin

uid=2917

username=kongxin


10.请分析“乐享金融”建仓时间为“2022/03/01 18:44:01”,平仓时间为“2022/03/01 18:52:01”,以太坊/泰达币的这一笔交易的平仓价格是_______。(标准格式:1888.668)

2896.924

buytime是时间戳

两个时间转换一下1646131441和1646131921


11.请分析“乐享金融”订单编号为“202112090946233262”平仓时间是_______。(标准格式:2022-1-11.1:22:43)

2021-12-09.09:52:23

居然是空的

考虑看一下备份文件,果然有一个数据库备份

导入库里,运行一下sql文件,再次查询1639014743


12.宝塔面板某用户曾尝试进行一次POST请求,参数为“/BTCloud?action=UploadFilesData”,请问该用户疑似使用的( )电脑系统进行访问请求的。

A.Windows 8.1

B.Windows 10

C.Windows 11

D.Windows Server 2000

A

这个题知道要找日志文件,但日志文件在哪第一时间没找到,最后看到wp

Windows NT 6.3


13.请分析该服务器镜像最高权限“root”账户的密码是_______。(标准格式:a123456)

g123123

用hashcat爆破一下,找shadow文件,注意找原来的别在现在的虚拟机里找,有可能你的密码在仿真的时候已经被改变了

$1$kmYU/aog$fKIF3ugewwCTuPWOSksjD/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/346684.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

配网行波型故障预警定位装置:电力系统的安全守护神

随着科技的不断发展,电力系统的运行和管理已经越来越依赖于先进的技术手段。在这个领域中,配网行波型故障预警定位装置(也被称为智能电网监测设备)已经成为了一种重要的技术装备。它能够实时监测电力系统的运行状态,及时发现并预警故障&#…

VI / VIM的使用

vi/vim 的区别简单点来说,它们都是多模式编辑器,不同的是 vim 是 vi 的升级版本,它不仅兼容 vi 的所有指令,而且 还有一些新的特性在里面。例如语法加亮,可视化操作不仅可以在终端运行,也可以运行于 x win…

Leetcode25-上升下降字符串(1370)

1、题目 给你一个字符串 s ,请你根据下面的算法重新构造字符串: 从 s 中选出 最小 的字符,将它 接在 结果字符串的后面。 从 s 剩余字符中选出 最小 的字符,且该字符比上一个添加的字符大,将它 接在 结果字符串后面。…

from sklearn.preprocessing import LabelEncoder的详细用法

sklearn.preprocessing 0. 基本解释1. 用法说明2. python例子说明 0. 基本解释 LabelEncoder 是 sklearn.preprocessing 模块中的一个工具,用于将分类特征的标签转换为整数。这在许多机器学习算法中是必要的,因为它们通常不能处理类别数据。 1. 用法说…

进程通信与socket编程实践之猜数字小游戏

socket是实现进程通信的一种重要方式,本文将通过socket编程实现服务器进程与客户端进程之间的通信,并在通信之外实现猜数字的小游戏。 1. 设计思路 本文设计的C/S结构的猜数字游戏功能如下:服务器端自动生成一个1-100之间的随机数字&#x…

未来已来:概念车展漫游可视化的震撼之旅

随着科技的飞速发展,汽车行业正经历着前所未有的变革。而在这场变革中,概念车展无疑是一个引领潮流、展望未来的重要舞台。 想象一下,你站在一个巨大的展厅中,四周陈列着各式各样的概念车。它们有的造型独特,有的功能先…

Protein carbonyl ELISA kit羰基化蛋白ELISA试剂盒

蛋白质羰基化是蛋白质氧化损伤的一种,是氧化应激中一种不可逆的化学修饰。蛋白质羰基化会引起蛋白质结构的改变,使其失去原有的生物学功能,最终导致细胞和组织功能紊乱。蛋白质羰基化不仅是氧化损伤的一项重要指标,也参与多种疾病…

客户大批量保密文件销毁,数据销毁新方案及实践 文件销毁 硬盘销毁 数据销毁 物料销毁

2023年春节前夕,青岛客户经理接到一个电话,韩国驻华机构想请我们做文件销毁,要求在2天内销毁800多箱纸文件。800多箱需要在短短两天内完成销毁,这一数字创下了淼一文件数据销毁自2009年以来的历史记录。单从业绩和营销角度看&…

AIGC是什么?GPT-4.0、DALL·E以及Midjourney等多种智能服务

AIGC(人工智能生成内容,Artificial Intelligence Generated Content)是指利用人工智能技术自动生成的文本、图像、音频和视频等内容。随着技术的进步,AIGC已经成为创意产业和内容创作领域的一股新兴力量。MidTool作为一款集成了多…

Spring Security 之 基本认证

基本认证 这部分提供了关于Spring Security如何为基于Servlet的应用程序提供基本HTTP认证支持的详细信息。 这部分描述了Spring Security中HTTP基本认证的工作原理。首先,我们看到WWW-Authenticate标头被发送回未经身份验证的客户端: 首先,用户对未经授权的资源 /private …

2024.1.22力扣每日一题——最大交换

2024.1.22 题目来源我的题解方法一 暴力法方法一 哈希表贪心方法三 贪心 题目来源 力扣每日一题;题序:670 我的题解 方法一 暴力法 直接暴力对数字中的每两个位置进行交换,然后记录交换后生成数字的最大值 时间复杂度:O( log ⁡…

用游戏盾会掉线吗,游戏出现掉线或者卡顿的可能有哪些原因

目前游戏类用户使用抗D盾进行防护DDOS攻击的情况非常普遍,有些第一次了解接触到盾的用户,会有担心接入盾使用后,玩家那边会不会掉线或者出现卡的问题。 其实关于这方面是完全不用担心,游戏盾都是由高防节点智能多线节点分布&…

TCP的连接和关闭的那些事

一、基础概念 1、啥是TCP? 它是面向连接的一种协议,任何数据发送之前都需要建立连接。 2、TCP/IP协议的四层中那一层? TCP位于运输层,详见下图 3、TCP协议的状态机有哪些? 在链接建立和断开不同阶段都有不同的状态&#xf…

企业邮箱遭入侵!印度制药巨头损失超4500万元

近日,印度制药巨头阿尔肯实验室子公司部分员工的企业邮箱遭入侵,导致其子公司被欺诈5.2亿卢比(约合人民币4500万元)。而根据截至2023年9月的季度财务报告数据,该公司营业收入为263.46亿卢比,净利润为64.65亿…

网页首页案例(使用框架:继上一篇博客结尾)

文章目录 新认识的快捷键1.先写好组件并导入App.vue2.往组件中一个一个填内容3.整体静态完成后,发现某些小部分相同,其实可以分装成小组件4.最后通过js动态渲染 新认识的快捷键 1.Ctrl滚轮按住往下拖可以部分选中 .用同样的方法选中下面的111&#xff0…

机器学习:多元线性回归闭式解(Python)

import numpy as np import matplotlib.pyplot as pltclass LRClosedFormSol:def __init__(self, fit_interceptTrue, normalizeTrue):""":param fit_intercept: 是否训练bias:param normalize: 是否标准化数据"""self.theta None # 训练权重系…

Vue3 Teleport 将组件传送到外层DOM位置

✨ 专栏介绍 在当今Web开发领域中,构建交互性强、可复用且易于维护的用户界面是至关重要的。而Vue.js作为一款现代化且流行的JavaScript框架,正是为了满足这些需求而诞生。它采用了MVVM架构模式,并通过数据驱动和组件化的方式,使…

力扣hot100 合并区间 排序 贪心

Problem: 56. 合并区间 复杂度 时间复杂度: O ( n log ⁡ n ) O(n\log{n}) O(nlogn) 空间复杂度: O ( n ) O(n) O(n) Code class Solution {public int[][] merge(int[][] intervals){Arrays.sort(intervals, (int[] a, int[] b) -> {return a[0] - b[0];});// 按照数…

基于原生图数据库的知识图谱存储

目录 前言1 关系模型的局限1.1 语义关联的隐藏1.2 数据多样性的挑战1.3 动态性受限1.4 与自然语言描述失配 2 知识图谱与图数据库2.1 图数据库概述2.2 图的结构特征的优势2.3 跨领域图建模与查询2.4 丰富的关系语义表达与推理能力 3 图数据建模的好处3.1 自然表达3.2 易于扩展3…

uniapp canvas做的刮刮乐解决蒙层能自定义图片

最近给湖南中烟做元春活动&#xff0c;一个月要开发4个小活动&#xff0c;这个是其中一个难度一般&#xff0c;最难的是一个类似鲤鱼跃龙门的小游戏&#xff0c;哎&#xff0c;真实为难我这个“拍黄片”的。下面是主要代码。 <canvas :style"{width:widthpx,height:hei…