程序笔记
发布时间:2022-07-04 发布网站:大佬教程 code.js-code.com
大佬教程收集整理的这篇文章主要介绍了2020第六届“美亚杯”团队赛WP,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
目录
一、前言
二、Zello部分
三、Bob部分
路由器部分(29-34)
LaPTOP部分(35-41)
Desktop部分(42-25)
Phone部分(46-55)
S2部分(56-69)
IMAC部分(70-74)
四、Cole部分
Desktop部分(75-85)
LaPTOP部分(86-106)
PI部分(107-117)
手机部分(118-126)
五、DAnniel部分
Desktop部分(127-133)
MAC部分(134-135)
Phone部分(136-140)
一、前言
最近也是恰好备战第七届美亚杯c;参加了美亚的培训c;跟着复盘又重新做了一次2020年的赛题c;个人赛很简单c;网上也有很多版本c;团赛好像没有完整的WPc;当然我的WP也不够完整c;也有部分的题没有得到答案c;有什么不对的地方c;师兄们可以指正。
总的来说难度不大c;但是需要的时间应该是不少的c;且关联性也比较强c;尽管是团队协作也需要尽可能的多交流彼此发现的成果c;不然很难达到协作的目的。
手机取证方面遇到了很大的难题c;特别是安卓的wifi mac地址和IOS高版本的BACk up 取证c;网上有一些资料c;但是没有拿到dd文件能够取到的东西很有限。
运用到的工具:X-ways、取证大师、火眼一系列软件(仿真、分析)、效率源的手机取证工具、notepad++、quickhash
有高见的话c;V:Faith_Tsir
二、Zello部分
- 30B856EEE5121EDC2F9DC19ACFC8720E443810CBC5B83128EC62F9F4AAEAACC9
- 想法比较取巧c;直接查看磁盘最早的文件创建时间。可以看到是2020-09-03-10:22
- 直接查看即可:ubantu-vg
- @H_618_78@Pv卷和LV卷的信息都在/etc/lvm/BACkup中可以看到c;用Xways打开预览。PV UUID:IF6neD-j49V-704g-Uugw-X1fS-y4dE-8GV73g
- @H_618_78@同样VG UUID:XaJRmQ-S7Tp-tjaG-tmrX-VNyu-xhS7- 9zDttW
- 直接查看: 5.4.0.48
-
20.04.1 LTS
-
Uname -a 查看:zello。文件位置位于/etc/hostname
-
查看/etc/machine-id:
- 仿真进去可以看到版本号c;也可以通过查看varwwwwordpresswp-includesversion.php可以看到是“5.5.1”
- 通过选项还有history命令考虑到可能是ntp服务 @H_618_78@ 查看/etc/ntp.cnf文件发现:NTP-server-host
- 查看/etc/timezone或者仿真输入命令:timedatactl
-
通过last命令查看只有一个zadmain用户在登录
-
用D盾扫整个www目录c;123.php很有嫌疑(这个名字就很离谱)拿去算一下
-
用记事本打开123.phpc;分析一下代码c;很容易看懂。
- title名字是Netflix
- 查看var/log/apache的日志c;导出以后用notepad++查看c;搜索一下c;在log.3很明显的找到爆破痕迹。203.186.94.68(Hydra)。有渗透经验的同志应该很清楚Hydra(九头蛇爆破工具)c;在kali环境中使用c;非常强大。
- http://zello-onlineshop.sytes.net
- 取证大师查看即可c;xways也可以
- 取证大师可以直接看(忘记截图了)
- 直接搜索txt文件
- 题目有些出错c;应该是9.29日的。查看access.logc;很明显的发现是http get/post洪流
@H_321_197@
- 直接notepad++计数比较
- 还是选择使用直接利用选项计数比较
- 这其实是BOB的IP地址c;在前面的案情里就可以发现c;所以是在香港
- Count出来只有10条c;Np++直接搜索“loggingout”(这题网上没有其他很好的答案)
- 前面有看到有爆破攻击“hydra“(详看第17题)
- 这个题不知道咋做。希望有大神给我解答。
三、Bob部分
路由器部分(29-34)
- 在BOB有关的图片里就可以找到路由器型号。
- BOB的调查报告里面里其的IP地址。
- 用X-ways查看Alice手机镜像 /etc/wifi/WCNSS_qcom_cfg.ini
- 找到一个c;但是跟答案给的不对
- (毕竟从Alice镜像里面就可以发现这俩人有明显的PY关系c;有极大嫌疑)所以是Alice和Cole两人都连过Bob的路由器。如果能有他们的MAC地址就确定了。
- 看路由器的连接记录c;日期就是到访日期。
@H_198_262@
LaPTOP部分(35-41)
做的时候把Desktop和LaPTOP搞混淆了c;前者是台式机c;后者是笔记本电脑c;吃了没文化的亏。
- 哈希直接计算即可(时间比较长c;计算的时候可以看看后面的题)
- 可以通过仿真c;也可以直接在取证大师分析上看到:Super email sender
- 仿真进去点开看就可以查看到收件地址c;桌面的记事本上存着一个c;但是选项没有c;于是在选项里找c;发现NETFLIX.htm.dump存在的文件和桌面上的记事本内容一样c;都是保存的邮件地址。
- Apk程序比较多c;发现cointracker比较可疑(事实上是挨个找c;最后才找到这货的)查看功能c;应该是虚拟货币汇率之类的。
- 这个题美亚也没给怎么做的c;抓包也没抓出来c;有懂apk的大佬也许可以试试。
- 741852963
-
这个是zello部分的c;不知道题目为什么设置在这里c;这个目录看得很清楚c;里面有设置的保存的两个关键txt文件c;作为盗刷信用卡的关键组成 www目录有两个wordpressc;一个是本来有的c;另外一个就是钓鱼网站也就是html里面的。
Desktop部分(42-25)
- 直接计算哈希
- 直接查看分析结果
- 符合题目要求的就只有一个zip文件c;其他都是软件自带的zip包c;提取出来查看就很明确了。
- D盾扫一下c;功能就是在收集个人数据
Phone部分(46-55)
这个题难在是个备份文件夹
c;不是个镜像
c;得找到特定的文件夹(snapshot)才行
c;才能解析
c;备份密码藏在一个ufd文件里。
- 手机大师好像取不出来c;不知道是不是试用版的原因c;用火眼的可以直接跳转到聊天记录的源文件地址
- 查看取证结果基本信息即可
- 同上
- 手机大师能把时区取出来c;火眼不行(害)c;也许可以直接搜索 timezone
- 文件系统里面找txt文件即可
- 在Alice的手机镜像里就知道c;Alice是创建群聊的那个人c;所以起码Alice是管理员(该题可以通过火眼跳转源文件查看数据库文件来看c;不过也相对麻烦)
- 4个附件:3个文件(vip.txt+2个https://)+一个图片
- 手机大师试用版没取出来
- 10.3.3直接看即可
- 查看浏览器记录c;注意时间是UTC+0
S2部分(56-69)
- Android id: 72af229d1da3b3cd
- 操作系统版本:4.1.2
- 时区:GMT+8 就是香港时间(UTC和GMT代表的同一个意思c;中国时间就是UTC/GMT+8)
- Bitcoin.png的储存位置:
- 计算即可
- 手机大师里有c;也可以直接用Xways查看/wifi/.mac.info
- 直接在该目录下查看即可
- 直接计算哈希值
- BOB的电脑的证据图上保存着他的电脑密码c;即Aa654321c;这也是密钥c;解出私钥。
- 在Alice手机检材中搜索flash_chatc;然后定位到这个位置c;发现其实里面的apk文件也叫base.apkc;提取出来计算哈希
- 这道题就只有挨着选项去看了c;如果对安卓文件系统熟悉的话c;可以知道安装好的apk会将数据库文件放在/data/app/database里面c;挨个查看c;发现在第一个文件里(%29结尾那个)
- 直接进行选项搜索c;因为这个文件我也不知道用什么查看器查看比较好c;np++查看仍然有很多部分是被乱码了的c;不过还好能看。
- 继续在这里查看需要的线索c;
- 挺难找的这个c;还是通过搜索消息ID查看上下文c;发现可疑的c;答案是Helloworld
IMAC部分(70-74)
- 这个Wallet钱包(文件名叫old.wallet.dat)必须得用比特币软件才能打开c;下载Bitcoin core软件(就在官网下载exe文件)之后打开钱包。我没有打开成功c;所以我是先创建了一个钱包c;然后把old Wallet.dat替换掉我创建的 Wallet之后实现的)之后可以导出收货地址。
- 最近交易的这一笔c;如图。
- 这个要在Bit.com上搜索才行c;不联网是不可能的
- 点进去看交易记录c;可以很清楚的看到金额
- 居然是算一个300多G的哈希…我认为有些时候还是没有必要凑些题来让人做..(真的够算很久)
四、Cole部分
Desktop部分(75-85)
- 计算哈希(这是最无聊的)
- 用户名(Cole的电脑当然是Cole了)
-
查看最近浏览的文件c;发现vips.txtc;很可疑导出后查看源文件
-
路径直接查看
-
预设浏览器安装时间:安装系统的时候就该是安装预设浏览器的时间
- 浏览器 IE(仿真进去看看也可以)
- 取证大师跳转到源文件c;dat文件
- 查看历史记录c;结合zello服务器的取证结果c;就很明显了。
- 同上
- 在txt文件里面找c;或者仿真进去看(题目的意思肯定是很明显的位置c;那么很可能直接出现在桌面)
- 点开该文件可以发现勒索信息。
LaPTOP部分(86-106)
- 又来了c;哈希值
- 发现三个用户信息
- 登录的肯定得是 Cole啊..
- 仿真可以看到c;对内存镜像跑一下也可以
- 仿真直接看到密码(789456)不然还得从NT哈希去CMD5上去查
- 取证分析的时候发现D盘存在卷影分析c;分析出三个卷影c;一直到解析到2020-9-26的快照才找到可疑txt。桌面上存在两个txt文件。
- 桌面上找到该文件c;仿真恢复不了快照c;不知道为啥c;只能在取证大师上看见。
- 能够找到Ink快捷方式
- 在文件时间上发现c; vips.txt和custome.txt有联系c;创建vips.txt三分钟后创建访问了customers。Vips前面发现过c;是收集泄漏个人信息的数据。
- 想到查看应用程序访问记录c;通过选项联想到是否是使用了 Eraser数据擦除工具删除东西。注意题目是UTC+0
- 使用volatility分析内存镜像c;pslist命令查看Pid
- 同理查看PPID。
- dlllist命令查看
- psscan命令可以找到该进程c;但是pslist里面没有c;有点搞不懂这俩有啥区别。
- 可以看到开始时间和截至时间c;截至时间正确。
- 在网络连接查看没有远程连接c;用户信息里也没有远程用户信息。
- 同样没有
- Vips.txt里存在该线索c;并不是这个检材里的c;这个检材里的已经被擦除了c;看不了c;得去其他检材里找到的VIPs.txt里面搜索该数据。
- CHAN YEE
- 626566826
- Tin SHUI WAI
PI部分(107-117)
该部分自动取证时间较长c;但题目没有问及特别深的部分c;所以自动取证的时候可以选择部分进行取证c;更可以用Xways同步查看
- 计算哈希值
- 系统是Ubantu
- 20.04
- Ext4
- 查看/etc/timezone
- 在/Var根目录下可以看到这几个图片c;很容易发现
- 文件的创建时间c;直接可以查看
- NAS里有动态卷c;用QUICKHASH无法计算c;只能用取证大师跑c;不知道怎么回事
- 动态卷里直接看到三张图片位置
- 3张
- 直接查看图片的信息
手机部分(118-126)
- 同步账号直接查看
-
直接可以看出c;也可以从alice手机里找到他的whatapp账号
-
三个人的手机取出来都有相同的 whatsapp结果。
@H_216_772@
- 很离谱c;只有手机大师能取这个出来c;安卓ID
- Apk文件叫base.apk(有时候自己用QQ传apk也是这个包名c;是自动改的还是怎么不太明白)导出来以后就可以计算了
- 手机大师和火眼都能跑出来c;直接看搜索记录
- 火眼yydsc;通讯记录跳转到源文件后查看数据库
- 一共看到两条短信
@H_477_801@
- 查看解析结果c;除开几个客服c;只有4个(BOB、A、Recharge、Balance)
五、DAnniel部分
Desktop部分(127-133)
-
直接计算哈希值:
-
很明显在分区2中
-
在邮件解析中查看c;后面130题选项中也给了提示
-
邮件解析中发现有个账户名为testone11223344用testone11223344@protonmail.com给Daniel发了邮箱c;然后Daniel下载了一个附件之后就应该是中招了。
- 桌面上没有文件c;恢复了2个快照以后也没有发现。然后在文件里面搜索zip/exe文件,发现可疑文件c;video_vierwer压缩包只有4KB大小c;解压下来也只有几十KB。
- 计算一下哈希值
- 报毒报的是特洛伊木马c;但是答案给的是远程桌面
MAC部分(134-135)
- 计算 哈希值(也是计算了很久)
- 直接取证大师打开(没必要分析了c;都没有这部分的题
Phone部分(136-140)
- 这个备份文件也不好取c;我用效率源软件的进行文件夹解析c;对解压好的BACkup进行解析c;发现有备份密码c;盲猜一个1234弱口令c;解析出了部分内容。
- 解不出来
- 能够解析出IMEI码
- 没有c;还是没有
- 从丹尼尔的桌面机就可以发现c;这货应该是被入侵的c;而不是黑客c;所以跟犯罪团伙没有关系c;所以选没有关系。Cole入侵的是Zelloc;不是Daniel。
大佬总结
以上是大佬教程为你收集整理的2020第六届“美亚杯”团队赛WP全部内容,希望文章能够帮你解决2020第六届“美亚杯”团队赛WP所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。