2021长安杯复现
|
1,456
|
1
|
刷题记录

2032 字
|
8 分钟

打这个比赛主要是为了混奖,结果报名截止那天晚上我在我们大二小团体里喊了一晚上都没人来(结果这些逼去偷偷报其他取证比赛了,我让他们报他们不报👍👍),只有一个re的师傅和我去组队,结果那个re的师傅周六早上有课,导致这个三人团体赛最好只有我一个人去打,不过最后还是拿了个三等奖,可惜,当时做仔细点不把那个多选题看成单选题肯定就二等了。

检材一

请计算检材一Apk的SHA256值

该APK的应用包名为

使用雷电APP智能分析分析该apk,可以在基本信息这里查看到SHA256和应用包名

该APK程序在封装服务商的应用唯一标识(APPID)为

就是第三方服务里面那个打包服务商的调研值

该APK具备下列哪些危险权限(多选题): A.读取短信 B.读取通讯录 C.读取精确位置 D.修改通讯录 E.修改短信

静态权限这里可以查看

该APK发送回后台服务器的数据包含一下哪些内容

显然全部

该APK程序回传通讯录时,使用的http请求方式为

用代理模式抓完包就知道是Post了

该APK程序的回传地址域名为

这我用工具跑出来和答案不一样,不知道是不是因为不是比赛中的缘故

该APK程序代码中配置的变量apiserver的值为

分析该APK,发现该程序还具备获取短信回传到后台的功能,短信上传服务器接口地址为

这些要用index.html里那个sojson.v4后面的数据进行解密

分析,发现该APK在运行过程中会在手机中产生一个数据库文件,该文件的文件名为

分析,发现该APK在运行过程中会在手机中产生一个数据库文件,该数据库的初始密码为

使用推荐的雷神模拟器连接分析工具,然后打开app,然后选择Frida脚本,Sqlite数据库,即可找到文件名和初始密码

检材二

解压密码是那个www.honglian7001.com

检材二的原始硬盘的SHA256值为

先进入火眼证据分析材料,点击创建案件,创建完之后选择解压出来的这个检材二.E01,这样挂载后我们用火眼平台上的哈希计算工具,这样计算后的SHA256才是真正原始硬盘的SHA256

查询涉案于案发时间段内登陆服务器的IP地址为

题目说案发时间是4月24日,看火眼的日志解析,该时间段内192.168.110.203这个ip多次出现

请对检材二进行分析,并回答该服务器在集群中承担的主要作用是()【格式:文件存储】

负载均衡(我感觉应该是反向代理,出题人说负载均衡全面一点),火眼仿真选择磁盘选择web.E01即可

上一题中,提到的主要功能对应的服务监听的端口为:

按操作路径去看看那个文件,可以看到是80端口

上一题中,提到的服务所使用的启动命今为:

由题目可知,这只是集群中的一个节点,所以启动服务的命令为:

node app.js

看history也可以看到这里有很多node app.js的记录

经分析,该服务对于请求来源IP的处理依据是()位进行判断【标准格式:9】

显然第二位

经分析,当判断条件小于50时,服务器会将请求转发到IP为()的服务器上【标准格式:111.111.111.111】

小于五十返回_proxy50,此时服务器的ip为:192.168.110.111

分析,该服务器转发的目标服务器共有台【标准格式:9】

3台

请分析,受害者通讯录被获取时,其设备IP地址为

请分析,受害者通讯录被获取后,经由该服务器转发到了IP为()的服务器上

查看24号的日志,然后找到有www.honglian7001.com那里,可以看见设备ip即Proxy_ClientIP,地址为192.168.110.252(这怎么是个内网地址);转发的服务器ip即Proxy_Destination,地址为192.168.110.113

检材三

检材三的密码即用21题的答案加上盐值-CAB2021,也就是192.168.110.113-CAB2021

有三个web服务器,但只有其中一个有额外信息,也就是web3,因为他是IP地址大于100的,也就是本次诈骗所用的IP

检材三的原始硬盘的SHA256值为

同上,在火眼里分析一下SHA256

请分析第21题中,所指的服务器的开机密码为

好像要从后面的题里分析出来

嫌疑人架设网站使用了宝塔面板,请问面板的登陆用户名为

进去了字体是炸的我日,看来没有中文字体,我去自己虚拟机看了下,查看bt用户和密码的命令如下:

请分析用于重置宝塔面板密码的函数名为

先在vmware那里调虚拟网络编辑器,把最后一个的子网段改成192.168.110.0,这样我们就可以访问宝塔了

这个不是默认的开放口,回机器上输入14,即可查询到开放口

输入账号hl123和我们重置过的密码123456即可登录

找到代码:

很明显这个函数为set_panel_pwd

请分析宝塔面板登陆密码的加密方式所使用的哈希算法为

md5

请分析宝塔面板对于其默认用户的密码一共执行了几次上题中的哈希算法

3

请分析当前宝塔面板密码加密过程中所使用的salt值为【区分大小写】

因为这个加盐调用的是public的一个方法,我们找到public

可以看到这里的salt为:M(‘users’).where(‘id=?’,(uid,)).getField(‘salt’),这个东西是从数据库中查询出来的

请分析该服务器,网站源代码所在的绝对路径为

请分析,网站所使用的数据库位于IP为()的服务器上,请使用该IP解压检材5,并重构网站

请分析数据库的登陆密码为

搜索database,找到database.php,可以知道ip为192.168.110.115,密码为wxrM5GtNXk5k5EPX

请尝试重构该网站,并指出,该网站的后台管理界面的入口为【标准格式:/web】

分析文件路径可知为:/admin

已该涉案网站代码中对登录用户的密码做了加密处理。请找出加密算法中的salt值【区分大小写】

请分析该网站的管理员用户的密码为

\www.honglian7001\runtime\log\202104\24.log

在对后台账号的密码加密处理过程中,后台一共计算几次哈希值

明显为3

评论

  1. 松.
    2年前
    2022-11-02 11:33:51

    {{baiyan}}

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																				
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇