案件背景
2021年4月25日,上午8點左右,警方接到被害人金某報案,聲稱自己被敲詐數萬元;經詢問,昨日金某被嫌疑人誘導果聊,下載了某果聊軟件,導致自己的通訊錄和果聊視頻被嫌疑人獲取,對其進行敲詐,最終金某不堪重負,選擇了報警;警方從金某提供的本人手機中,定向采集到了該果聊軟件的安裝包--zhibo.apk(檢材一),請各位回答下列問題:(題目中需要通過分析出來的答案對檢材二三四五解壓,解壓密碼為IP的情況,需要在密碼后增加-CAB2021)
檢材一密碼為"2021第三屆CAB-changancup.com"
1、請計算檢材一Apk的SHA256值
直接將apk拖入hashcal計算即可
結果為3fece1e93be4f422c8446b77b6863eb6a39f19d8fa71ff0250aac10f8bdde73a
2、該APK的應用包名為
使用jadx反編譯,查看AndroidManifest.xml,package的值就是包名
結果為plus.H5B8E45D3
3、該APK程序在封裝服務商的應用唯一標識(APPID)為
可以在assets的apps目錄下找到
結果為H5B8E4D3
4、該APK具備下列哪些危險權限(多選題):
A.讀取短信 B.讀取通訊錄 C.讀取精確位置 D.修改通訊錄 E.修改短信
權限信息在AndroidManifest.xml中查看
具體權限的對應關系可以查看https://www.cnblogs.com/linn/p/4046180.html
結果為ABCDE
5、該APK發送回后台服務器的數據包含以下哪些內容(多選題):
A.手機通訊錄 B.手機應用列表 C.手機號碼 D.驗證碼 E.GPS定位信息
這題需要抓包,使用Progress Fiddler進行抓包,在電腦上運行安卓模擬器,並且修改安卓模擬器的網絡配置為本機IP,端口為8888,並在Fiddler中開啟遠程連接
可以看到上傳了手機號和邀請碼以及最后一個參數Netease-MuMu,由於這是模擬器,所以我又把它裝到Android Studio里的安卓手機上,這次提交信息的時候,手機申請了一個權限,要獲取通訊錄信息
到這一步可以確定答案ACD
做第8題之后,查看apiserver的使用情況,發現獲取了所有短信
發送了地址、手機號、邀請碼
獲取了通訊錄
結果為ACDE
6、該APK程序回傳通訊錄時,使用的http請求方式為
解第五題時就可以看到
結果為POST
7、該APK程序的回傳地址域名為【標准格式:www.abc.com】
仍然是在Fiddler中可以看到
結果為www.honglian7001.com
8、該APK程序代碼中配置的變量apiserver的值為【標准格式:www.abc.com/abc】
在反編譯的java代碼中尋找未果后,就直接去找這個頁面的代碼,進入之后發現有一大串的加密文本
第一個參數就給出了應該是sojson.v4加密,可以在這個網站在線解密http://www.amanctf.com/tool/sojson4
搜索apiserver直接出結果
結果為www.honglian7001.com/api/uploads
9、分析該APK,發現該程序還具備獲取短信回傳到后台的功能,短信上傳服務器接口地址為【標准格式:www.abc.com/abc】
繼續在上一段代碼里搜索SMS,這是短信的一般英文名,可以看到代碼
上傳的服務器為apiserver加上apisms
結果為www.honglian7001.com/api/uploads/apisms
10、經分析,發現該APK在運行過程中會在手機中產生一個數據庫文件,該文件的文件名為
在反編譯的java中搜索database,慢慢查看,發現了一個ad方法里面只有databse相關代碼,那么這個方法的全名可能是addDatabase新增一個數據庫
結果為test.db
11、經分析,發現該APK在運行過程中會在手機中產生一個數據庫文件,該數據庫的初始密碼為
分析這個函數,先是幾個ascii碼轉為了hex,在將hex切片,取它的第二個和第三個值計算md5,byte數組轉為hex后為616263646566,取2和3即為16,計算md5
結果為c74d97b01eae257e44aa9d5bade97baf
檢材二密碼為第7題答案
12、檢材二的原始硬盤的SHA256值為
x-ways直接計算硬盤hash值
結果為E6873068B83AF9988D297C6916329CEC9D8BCB672C6A894D393E68764391C589
13、查詢涉案於案發時間段內登陸服務器的IP地址為【標准格式:111.111.111.111】
/var/log/wtmp查看登錄記錄
last命令
結果為192.168.110.203
14、請對檢材二進行分析,並回答該服務器在集群中承擔的主要作用是()【格式:文件存儲】
通過查看歷史命令,可以發現服務器的目錄文件就是/opt/honglianjingsai
進入到這個文件夾之后對服務器的代碼文件進行分析
先留空,做到17、18、19幾題的時候可以發現,他對ip進行判斷,根據不同的條件轉發到不同的服務器上,因此它的作用是均衡負載
結果為負載均衡
15、上一題中,提到的主要功能對應的服務監聽的端口為
readme中告知了修改端口的方法,直接進入查找即可
結果為80
16、上一題中,提到的服務所使用的啟動命令為
再次查看history文件
發現其重啟之后只可能是node app.js來啟動服務,因為其他的命令是清屏、查看ip配置、進入服務器目錄和關閉服務
打開app.js進行確認,確實是有服務器的開關功能
結果為node app.js
17、經分析,該服務對於請求來源IP的處理依據時:根據請求源IP地址的第()位進行判斷【標准格式:9】
根據之前的配置提示,查看ADProxy.js
對ip進行了切片,從第三位開始,從變量命名clientIP3Int也能看出來
結果為3
18、經分析,當判斷條件小於50時,服務器會將該請求轉發到IP為()的服務器上【標准格式:111.111.111.111】
繼續對ADProxy.js進行分析,可以看到參數
結果為192.168.110.111
19、請分析,該服務器轉發的目標服務器一共有幾台
接上題,共有3個
結果為3
20、請分析,受害者通訊錄被獲取時,其設備的IP地址為【標准格式:111.111.111.111】
在日志中注意時間是UTC時間,所以小時要減去8,在對應時間找到ip地址
結果為192.168.110.252
21、請分析,受害者的通訊錄被竊取后,經由該服務器轉發到了IP為()的服務器上【標准格式:111.111.111.111】
接上題,可以看到轉發的目標服務器
結果為192.168.110.113
檢材三密碼為第21題答案-CAB2021
掛載容器后發現有3個鏡像文件,按照剛剛的ip地址在負載均衡服務器里在第三個位置,先查看web3.e01
22、檢材三的原始硬盤的SHA256值為:
導入x-ways之后計算系統硬盤的hash即可,依照理解應該是web3的sha256
結果為205C1120874CE0E24ABFB3BB1525ACF330E05111E4AD1D323F3DEE59265306BF
23、請分析第21題中,所指的服務器的開機密碼為:
21題中所指服務器為192.168.110.113,即web3.e01鏡像,因此在其中查看/etc/shadow,發現加密方式不易破解,那么先仿真起來繞過密碼再說。
仿真使用磁盤掛載工具,現將web3.e01中的linux系統盤掛載到本地,記住盤號
然后使用vm新建虛擬機,選擇硬盤時勾選使用物理磁盤
選擇剛剛的盤號即可
然后centos7密碼繞過可以參考https://blog.csdn.net/qq_46527080/article/details/110003546
結果為honglian7001
24、嫌疑人架設網站使用了寶塔面板,請問面板的登陸用戶名為
在/etc/rc.d/init.d/bt中看到shell程序,
發現只要使用bt default命令就可以在終端輸出用戶名和密碼
結果為hl123
25、請分析用於重置寶塔面板密碼的函數名為
在btshell程序中發現經常調用tools.py,進入分析代碼,可以直接找到修改密碼的函數
結果為set_panel_pwd
26、請分析寶塔面板登陸密碼的加密方式所使用的哈希算法為
可以看到使用了md5
結果為md5
27、請分析寶塔面板對於其默認用戶的密碼一共執行了幾次上題中的哈希算法
上題發現有一次md5,被public.password_salt包裹
找到導入代碼
得知public的路徑為/www/server/panel/class/public.py
找到password_salt函數
看到又進行了兩次md5
結果為3
28、請分析當前寶塔面板密碼加密過程中所使用的salt值為【區分大小寫】
分析代碼,看到salt是從數據庫讀取的
而這個數據庫通過M方法來調用,上下文搜索def M
發現默認數據庫為/wwww/server/panel/data/default.db
根據代碼是在users表中獲取salt的鍵值
結果為v87ilhAVumZL
29、請分析該服務器,網站源代碼所在的絕對路徑為
結果為/www/wwwroot/www.honglian7001
30、請分析,網站所使用的數據庫位於IP為()的服務器上(請使用該IP解壓檢材5,並重構網站)【標准格式:111.111.111.111】
在/www/wwwroot/www.honglian7001/app/下看到一個database.php
進行查看,得到IP地址
結果為192.168.110.115
31、請分析,數據庫的登陸密碼為【區分大小寫】
接上題,可以直接獲取到用戶名和密碼
結果為wxrM5GtNXk5k5EPX
32、請嘗試重構該網站,並指出,該網站的后台管理界面的入口為【標准格式:/web】
raid重組
重組后創建鏡像仿真
以www.honglian7001/app/admin/view為網站根目錄
結果為/admin
33、已知該涉案網站代碼中對登錄用戶的密碼做了加密處理。請找出加密算法中的salt值【區分大小寫】
在www.honglian7001/app/admin/common.php中
結果為lshi4AsSUrUOwWV
34、請分析該網站的管理員用戶的密碼為
密碼查看運行日志www.honglian7001/runtime/log
這里根據日期去查202104,日志中搜索password,但是會出現兩個結果
使用security登錄成功
結果為security
35、在對后台賬號的密碼加密處理過程中,后台一共計算幾次哈希值
在33題找salt時可以看到進行了三次md5計算
結果為3
36、請統計,后台中,一共有多少條設備記錄
如果不重構網站,那么可以對數據庫進行恢復,數據庫鏡像中有frm和ibd文件,可以通過以下方式恢復數據庫數據直接查看(當然沒有重構網站那么簡單)https://www.cnblogs.com/WXjzc/p/16122196.html
登錄網站后台,點擊設備查看,可以發現一共有6002條記錄
如果無法登錄,要在數據庫服務器中為mysql配置文件添加skip-grant-tables
結果為6002
37、請通過后台確認,本案中受害者的手機號碼為
根據金先生下載惡意apk的時間,可以找到手機號碼
結果為18644099137
38、請分析,本案中受害者的通訊錄一共有多少條記錄
根據受害人手機號碼查看通訊錄
結果為34
檢材四密碼為第13題答案-CAB2021
39、請計算檢材四-PC的原始硬盤的SHA256值
直接計算
結果為E9ABE6C8A51A633F809A3B9FE5CE80574AED133BC165B5E1B93109901BB94C2B
40、請分析,檢材四-PC的Bitlocker加密分區的解密密鑰為
在其他分區可以找到
結果為511126-518936-161612-135234-698357-082929-144705-622578
41、請分析,檢材四-PC的開機密碼為
AXIOM直接查看用戶ntlm值
也可以將sam和system注冊表文件導出,使用mimikatz提取密碼哈希值
結果為12306
42、經分析發現,檢材四-PC時嫌疑人用於管理服務器的設備,其主要通過哪個瀏覽器控制網站后台
AXIOM查看瀏覽器緩存
可以發現谷歌瀏覽器訪問服務器最多
結果為Chrome
43、請計算PC檢材中用戶目錄下的zip文件的sha256值
直接計算即可
結果為0DD2C00C8C6DBDEA123373F91A3234D2F07D958355F6CD7126E397E12E8ADBB3
44、請分析檢材四-phone,該手機的IMEI號為
火眼分析得結果
結果為868668044204431,868668044204436
45、請分析檢材四-phone,嫌疑人和本案受害者時通過什么軟件開始接觸的【標准格式:支付寶】
火眼分析,查看結果得到是伊對
結果為伊對
46、請分析檢材四-phone,受害者下載惡意APK安裝包的地址為
火眼分析,拿到地址
結果為https://cowtransfer.com/s/a6b28b4818904c
47、請分析檢材四-phone,受害者的微信內部ID號為
火眼分析得結果
結果為wxid_op8i06j0aano22
48、請分析檢材四-phone,嫌疑人用於敲詐本案受害者的QQ賬號為
查看即可
結果為1649840939
49、請綜合分析,嫌疑人用於管理敲詐對象的容器文件的SHA256值為
賺錢工具這個壓縮包解壓出來是一個虛擬機,但是其實進去之后什么也沒有,用火眼仿真可以直接得到密碼為money,之后可以在文檔文件夾中找到小白鼠.txt,計算sha256
結果為9C48E29EB5661E6ED088A364ECCóEF004C150618088D7000A393340180F15608
50、情綜合分析嫌疑人檢材,另外一受害者“郭先生”的手機號碼為
打開郭先生文件夾,可以看到excel
結果為15266668888
51、通過嫌疑人檢材,其中記錄了幾位受害者的信息
在收藏夾里藏有秘鑰文件,用於掛載容器,掛載之后可以看到
結果為5
52、請使用第11題的密碼解壓“金先生轉賬.zip”文件,並對壓縮包中的文件計算SHA256值
結果為cd62a83690a53e5b441838bc55ab83be92ff5ed26ec646d43911f119c15df510
53、請綜合分析,受害者一共被嫌疑人敲詐了多少錢(轉賬截圖被隱藏在多個地方)
微信敲詐兩千
伊對銀行卡敲詐一千
QQ中說轉了600
52題的壓縮包中收了兩千
數據庫中還有一千
加起來一共6600
結果為6600
小結
題目總體質量比較不錯,不過明顯看出贊助商的推銷意圖,許多地方如果不用火眼的軟件,就會變得額外艱難,甚至就是根本做不出來,不過題目的涉及面也比較廣了,用來練手非常不錯。