比赛的时候花了40min去装龙信的软件了,有些题目只有龙信的软件可以直接出。后面的题目做的比较急,犯了一些低级的错误,格式看错了,base64加密没看出来等等。比赛的时候安装龙信的手机取证的软件还出错了,QQ里面的聊天记录不能查看,当时不知道什么情况,比赛之后才有报错,提示重装一遍,重装完就可以显示了。
复盘完除服务器以外的题目,适合新手入门,题目离实战还是有些差距的。
服务器这块的题目要绑定手机号,我的实在弄不好。
参考大佬文章:
第一届“龙信杯”电子数据取证竞赛Writeup-CSDN博客
https://www.cnblogs.com/WXjzc/p/17728788.html
https://mp.weixin.qq.com/s/C9qIR9Em73kVm6b6WCXKpw?poc_token=HP57FWWjJV9CJqLEbrJ2IT5CPuZKgTr3Hzho6HKy
查看基本信息
这题格式写错了,很亏
梭哈
解压userdata.img,查看数据库
sms是短信的数据,read字段为0是未读,read字段为1是已读
检索历史记录可以得到
浏览目录就能找到
看数据库就能找到
总结:像这种短信记录,看不到原貌的,去网上查下目录在哪里,一般来说,都会以数据库形式存储。
实战:
短信是:data/data/com.android.providers.telephony目录下的mmssms.db数据库文件中的sms表
通话记录:data/data/com.android.providers.contacts目录下的contacts2.db数据库文件中的call表
联系人是: data/data/com.android.providers.contacts目录下的contacts2.db数据库文件中的contacts表
那我们来找找通话记录表
检视完这个数据库,发现没什么收获,我就在这个文件夹下再看看
calllog.db,猜测是通话的日志
打开一看果然是,和火眼里面的结果一样
wps office免费版的下载的入口(wps下载电脑版免费吗安全吗)
发现后面的手机号归属地不明确,火眼里面更清楚
wps office的免费版下载的地址是什么(wps office下载windows)
所以说,火眼直接帮我们查好了,直接看数据库是分析不出来的
wps免费版下载地址怎么找
当时比赛的时候,填的是这个微信号,聊天记录没读完,做急了
在这里
不得不说,这是龙信软件的优点,可以直接将包名和软件名对应
这里要的是ID号,不是账号
眼见不一定为实,按照照片去验证,先尝试去分析exif信息
后面想起来,qq,微信这些社交软件发图片如果不是原图都会自动抹除exif信息,从这里去找位置行不通
这是个取证比赛,不是osint比赛,所以再看看
图库里面有,帮我们分析好了,导出分析exif肯定也是这个结果
发现在苏州
分析可得
先说说这个apk我找的思路,还得是龙信软件的优势
分析之后,目标聊天软件为“甜心密聊”,在这里可以找到安装路径,去下面看看
/data/app/~~bHUuRhDnXQeY4lr91PUg_Q==/lx.tiantian.com-xNCYppevFdsIGg_NlIP03A==
用火眼看也可以
在这里看也是可以的
这是利用安卓的机制,保存已经安装的软件的安装包,base.apk
先利用aapt插件导出信息
aapt dump badging xxx.apk > apkInfo.txt 
查到了
这题有争议,大佬看源码说没有窃取短信,窃取了通讯录
就解题来说,摸瓜是最快的。不过这个apk脱离实战了,URL就给了两条,看标准格式就能直接填写了。看大佬的方法是去源码,这种方法我还有待提高。
因为是盐值,直接去搜索 salt
看到url带有login了,猜测是后台登录网址
APP打包平台调证值就是 DCLOUD_AD_ID ,记得盘古石杯也有,这次还是忘记了
可以直接猜测 192.168.5.80/login
未被引用,抓包出不来的
比赛的时候用火眼的软件进行抓包了,倒是抓包到了app.goyasha.com,但是没有ip地址,这题有点问题的
复盘的时候,看后台地址的时候翻到的
见pc取证复盘最后
比赛的时候,尝试用了各种方法去找了pc密码,但是实在找不出来,只有NThash值08f58906a10be263e0283901d8af4075,但是hash反差查不出来,只能说hash反差比赛题目基本都查不出来的。
火眼会直接绕过密码,不能知道密码自己去输入,绕过密码很多记录都会被删除掉。
直接去点登录,出错给密码提示,工号去镜像里面找,有工资表
查到工号
看开关机记录就可以了
答案有问题,我是把所有时间都算上去了,手算的
下载下来,也可以用010打开
比赛的时候没有意识到这是一个base64加密,太不应该了
用上题的密码打开 文件.zip
直接填工资表的数据是错的
绕过开机密码这里就会丢失,可以去学习下vmdk镜像挂载,这样没有第三方软件,直接使用vm也同样可以
$recycle.bin文件夹是系统重要的隐藏文件,一般存在于磁盘根目录下。是windows“回收站”在分布在每一个磁盘上的链接文件夹,用于保存磁盘上删除的文件或者文件夹信息,它的作用就像是当前驱动器的回收站。
检查每个磁盘的recycle.bin文件夹,发现png文件
正是手机取证里面找到的那张
发现文件
第一个路径
第二个路径,可以签名看源码
找到这个加密容器
我当时发现了这个加密容器,但是不知道是哪一题的,密钥也不知道是啥
结果就是用tc模式,刚才的图片为密钥进行解密,思路新奇,我是第一次见
直接打开不行,还是找recycle.bin
算一下就行
重要信息.txt
AES解密,利用apk里面的key和IV
进入之后就要断网,不然就归零了
卖币方转0.5个ETH到买币方钱包
第一笔交易价值100万的WPS office的电脑版的下载网站怎么找
第二笔交易交易200万的WPS office的电脑版的下载网站怎么找
这题有问题,0.5付给买方地址,怎么和第一笔交易的中间人地址一样???
这个部分还可以看数据库解,详细看参考文章,能学到东西
进去瞬间需要断网
A. raw sausage art hub inspire dizzy funny exile local middle shed primary
B. raw sausage art hub inspire dizzy funny middle shed primary
C. raw sausage art funny exile local middle shed primary
查下格式就知道了
A. 0xf0fF021880c4b1F79876E335c74d26DFa75DC9f9
B. 0x63AA203086938f82380A6A3521cCBf9c56d111eA
C. 0x0fd5F09C6Ba5Fd0aE6EbAFAF034913ACF7a0373A
在这里导入
看到了
A. DDoS攻击
B. DoS攻击
C. SQL注入
D. 文档攻击
以数据包大小排列,看到10.5.0.19被116.211.168.203爆破了,一台攻击机就是Dos攻击。
多台攻击机就是DDos攻击
10.5.0.19是攻击机,116.211.168.203是公网的服务器
10.5.0.19是攻击机,120.210.129.29是文件下发的服务器,下发了java.log文件给攻击机
导出数据,删掉响应头,拿到微步里面分析
有风险
往前看看
看到payload搜索
wps office免费版下载地址(金山wps官网)
get请求,进行url解码
看到上传png了
分析“数据包2.cap”,文件下载服务器的认证账号密码是_______。(标准格式:123)
8.分析“数据包2.cap”,其下载的文件名大小有________字节。(标准格式:123)
直接出
这样也可以
服务器的内核版本:uname -a
WPS office官网最新的下载网站
登录的时候有这个验证,bt 23 && bt 24关闭即可
WPS office电脑版的下载的网址
找到文件,/www/backup/site/wwwroot.tar.gz
