2024年弘连网络FIC大会竞赛题-0518线下决赛题

案件背景:

2024年3月15日凌晨,受害人短视频平台上看到一段近期火爆的交通事故视频,留言后有人通过私信联系,称有一个赚大钱的机会,该人自称李某,提议让他到他们平台充值做代理;最终受害人发现自己被卷入了一个复杂的网络传销犯罪活动中,从而报案。

经过一段时间的侦查,2023年3月25日,警方最终锁定了”lalala李”网络水军团伙的技术人员卢某,一举拿下了卢某的住所;当天上午,警方开始对卢某某的个人计算机进行现场勘验。在管理工具历史记录中,发现了大量访问某个PVE云服务器控制台的记录。初步判断该云服务器可能为该团伙网络引流的主要平台。

经过进一步追查,警方发现该PVE云服务器租用于某知名云服务商,服务器上运行着数个不同的虚拟机实例;平台通过虚拟软件模拟多部手机,利用网络水军的力量在各大平台发布伪造的图片传播负面新闻,引流受害者加入平台。

在深入分析虚拟机镜像后,警方终于发现这些虚拟机背后运行着一个复杂的网络传销平台!最终,警方展开了一场声势浩大的收网行动,成功捣毁了该犯罪团伙。案件中的主要成员李安弘、卢某某等人均被依法逮捕。

接下来,我们将深入分析关键证据镜像文件,揭开这个庞大网络传销窝点的犯罪事实。

检材情况:

  1. 卢某个人计算机—PersonalPC.E01,MD5: 6ee6056aaf226c019426c468c0d3bc7b
  2. PVE服务器调证镜像1—sys.E01,MD5: 31eaaa81bac66fefaa2ea1782c5c047b
  3. PVE服务器调证镜像2—data.E01,MD5: 9c8086f0763e46b28ff4e5924fe3245d

vc容器密码

1
2024Fic~Competition~Finals@杭州&Powered~By~HL!

网络拓扑

image-20240520181334771

计算机介质部分:

请分析卢某的计算机,并计算原始检材的SHA256值。

image-20240520182029698

嫌疑人回收站中的”备忘录.txt”文件SHA1 值为?

在回收站中

计算即可

image-20240520183142792

嫌疑人使用ssh连接工具,该工具的名称为?【答案格式:fic123】

登录的密码在备忘录里

image-20240520182239637

嫌疑人使用ssh连接工具,其中连接名为node的连接记录,连接的端口为?【答案格式:123】

仿真进入查看即可,或者火眼分析时输入moba的密码

image-20240520183234233

在2024-03-12 17:13左右,嫌疑人计算机最少连接了__台安卓虚拟机。【答案格式:1】

打开此电脑时可以发现

image-20240520183312616

看见adb–>云手机

图片里可以看到截图

image-20240520183558754

软件“QtScrcpy”的配置文件显示,嫌疑人配置了__台安卓虚拟机(以连接端口计数)。【答案格式:123】

数一下

image-20240520183437519

嫌疑人桌面文件”老婆.png”的SHA256哈希值为?【答案格式:abc123】

计算即可

嫌疑人把xls文件藏入老婆.png中,该xls的密码为?【答案格式:Abc123】

嫌疑人桌面”2024年3月13日星期三 日报.docx”文档密码为?【答案格式:Abc123】

比赛用的passwarekit,用了一个半小时,而且这些时间cpu全部跑满,基本干不了别的事情

分离xls

image-20240520185611564

提取文件头进行分离

image-20240520185702145

新建十六进制粘贴进去即可

image-20240520185735364

保存成xls文件即可

image-20240520185816121

用hashcat进行爆破

先获取哈希

john/office2john.py at main · massmatic/john (github.com)

1
python office2john.py /root/tmp/111.xls

image-20240520191550276

?1?1?1?1?1?1rd+自定义字符集

passwarekit不做演示了

我的kali用的zsh,得切换成bash先

1
hashcat -m 9800 -a 3 '$oldoffice$4*107c23885fafc2941281e5ea12155a9c*88fa443a510634975fe401a428fdb5b2*596498685ef86b45dc44ca45e30f6c8d5d366eae' -1 ?l?u?d ?1?1?1?1?1?1rd

image-20240520210028631

image-20240520211524423

1
P1ssw0rd

word同理

1
hashcat -m 9600 -a 3 '$office$*2013*100000*256*16*12126a7d4fc8a58b5433ddc3fa3638e2*466cbf646d8984a7174d4dce8ec4251e*1d987da8a3b17c1b60a67cc05480dca814a3cfbad77f88326ba63e5a310b52b5' -1 ?l?u?d P?1ssw?1rd

image-20240520213635875

嫌疑人使用的AI软件名称为?【答案格式:abc-df-abc】

image-20240520213032887

嫌疑人使用的AI软件监听端口为?【答案格式:1】

image-20240520213821513

AI软件安装目录下的“2024-03-13”目录,其中由AI生成的图片有多少张?【答案格式:1】

image-20240520213916691

嫌疑人使用Ai软件生成燃烧的汽车图片使用的模型SHA256哈希值为?

image-20240520214606492

image-20240520214755793

image-20240520214923839

嫌疑人使用Ai软件生成燃烧的汽车图片(00036-957419862.png)使用的正向提示词,包含哪些?

  • A. china
  • B. high way
  • C. fast speed
  • D. car on fire
  • E. no people

image-20240520215157257

嫌疑人桌面文件”老婆.png”的图像生成种子是__。【答案格式:123】

image-20240520215107592

PVE虚拟化平台部分:

请重构虚拟化平台并回答下列问题:

仿真勾选嵌套虚拟化

配置虚拟网卡

访问IP

image-20240520221928492

root 123456

PVE虚拟化平台版本号为?【答案格式:1.1.1】

image-20240520222038020

PVE虚拟化平台的外部登录地址为【答案格式:192.168.1.1:22】

image-20240520222056893

在PVE虚拟化平台中,当前共有多少个虚拟机?【答案格式:1】

image-20240520222536650

image-20240520222731396

PVE虚拟化平台的“vmbr1”网卡所使用的网段为?【答案格式:192.168.1.0/11】

image-20240520222747683

PVE虚拟化平台中”120(Luck)”虚拟机的smbios uuid为?【答案格式:123abc-123ba-123ad-23ab-12345abczc】

image-20240520223005758

在PVE虚拟化平台中,用户“Lu2k”被授予了多少个虚拟机的使用权限?【答案格式:1】

image-20240520223431052

image-20240520223450364

使用该密码重新登录

image-20240520223536760

在PVE虚拟化平台中,shell历史命令中最后一条命令为?【答案格式:hello world】

请分析嫌疑人最近一次销毁虚拟机的时间为:

  • A. 2024-03-13 10:34:20
  • B. 2024-03-22 18:06:15
  • C. 2024-03-22 18:15:17
  • D. 2024-03-22 18:20:55

image-20240520224142218

PVE虚拟化平台的openEuler系统镜像下载的开始时间为?

  • A. 2024-03-12 12:03:12
  • B. 2024-03-12 12:04:19
  • C. 2024-03-12 12:10:09
  • D. 2024-03-12 12:11:02

image-20240520224401621

根据嫌犯供述,可通过快照启动PVE虚拟化平台中的云手机。请根据该条线索找到对应虚拟机,其快照的时间为:

  • A. 2024-03-12 11:02:32
  • B. 2024-03-12 11:24:11
  • C. 2024-03-13 10:34:20
  • D. 2024-03-13 9:43:23

image-20240520224550475

软路由部分:

请重构软路由环境,并回答下列问题:

软路由root用户的密码是?【答题格式:abc123】

image-20240520224648261

image-20240520224759590

软路由管理面板所用http协议监听的端口为?【答案格式:7001】

image-20240521132749257

image-20240521132742166

软路由的系统版本号为?【答案格式:1.1.1】

image-20240521132805399

软路由的WAN口所配置的网关为?【答案格式:1.1.1.1】

image-20240521132856975

软路由防火墙端口转发规则有多少条记录【答案格式:1】

image-20240521133154672

OpenClash控制面板登录密钥为?【答案格式: Abc123】

image-20240521133529940

OpenClash的局域网代理密码(SOCKS5/HTTP认证信息)为?【答题格式:Abc123】

复写设置

image-20240521134146993

OpenClash的订阅地址为?【答案格式:https://www.forensix.cn】

image-20240521134210319

代理节点”香港501 中继 动态”的服务端口为?【答案格式: 123】

image-20240521134255439

OpenWrt的包管理软件的系统镜像源配置文件的绝对路径是?【答案格式:/root/hl/abc.conf】

image-20240521134748485

云手机部分:

请还原云手机环境,并回答下列问题:

PVE虚拟化平台的虚拟机”101(node1)”的droid用户登录密码为?【答案格式: Abc123】

image-20240521134958338

image-20240521135007947

PVE虚拟化平台的虚拟机”101(node1)”中Docker容器的镜像ID的前六位为?【答案格式:abc123】

image-20240521135805038

在PVE虚拟化平台的node1虚拟机中,容器手机的数量为?【答案格式:1】

image-20240521135823062

在PVE虚拟化平台的node1虚拟机中,若要启动手机容器,有几条前置命令(docker命令不纳入计算)?【答案格式:1】

image-20240521135226128

在PVE虚拟化平台的”101(node1)”虚拟机中启动“priceless_knuth”手机容器后,该安卓手机的蓝牙MAC地址是多少?【答案格式: 12:34:ab:cd:a1:b2】

image-20240521143909841

警方现场勘验过程中,曾使用雷电手机取证软件通过嫌疑人软路由对云手机进行了远程取证,请问以下哪个端口可以明确是取证时使用过的端口?【多选题】
- A. 11111
- B. 12222
- C. 13333
- D. 23333
- E. 24444
- F. 35555

image-20240521143833811

在PVE虚拟化平台的node2中名为loving_shtern的手机映射至软路由中,所占用的端口号为?【答案格式: 123】

image-20240521140349035

在PVE虚拟化平台的node2中loving_shtern手机容器中安装的名为“抖音”安装包的MD5值为?【答案格式: abc123】

借用官方复盘

image-20240521142618066

根据集群中手机内容分析,传销人员在评论区引流使用的qq号为?【答案格式: 123】

image-20240521143805455

通过云手机聊天记录可以得知,涉案传销网站域名为?【答案格式: www.forensix.cn】

涉案服务器集群部分:

请重构服务器环境,并回答下列问题:

导出做(火眼我这里导不出来)

网钜和弘连数据库工具大部分都能梭掉

image-20240521143140619

image-20240521145001822

分配临时ip

image-20240521145653553

分配完记得打快照不太稳定

涉案服务器集群中,sql数据库服务器112(sqlserver)对应的虚拟磁盘的SHA256值为?

路径

1
/mnt/pve/local2/images/

应该是要重新仿真一遍pve

官方题解说可以在里面直接做,我只有nginx是由权限的,其他两个拿不到权限,只能导出做

image-20240521161431363

nginx采用lxc-attach 110直接连终端

涉案服务器集群中,数据库服务器的root用户密码加密方式为?

  • A. SM3
  • B. SHA256
  • C. MD5
  • D. Bcrypt

看shadow

image-20240521161710170

涉案服务器集群中,数据库服务器的内核版本?【答案格式:1.1.1】

image-20240521161738141

image-20240521163336827

网站重构部分

我选择把虚拟机全部拖出来做,创建一张新的fic网卡用于pve的访问,其他的用nat模式写进一个内网

对所有仿真起来的虚拟网卡分配临时ip

1
ifconfig ethx 192.168.xxx.xxx netmask 255.255.255.0

image-20240521165017306

在测试时,发现只有nginx仿真后无法正常启动

查看history发现可以使用lxc-attach 110进入nginx终端

image-20240521165535712

进入pve,将其他虚拟机关机,只开启nginx,将nginx的网卡桥接至我们的100段的网卡(ens36是100段的网卡)

image-20240521165117829

sqlserver将docker全部启动

image-20240521170150656

javaserver查看历史命令

image-20240521170047556

复制粘贴启动

image-20240521170119446

image-20240521170128271

绑定hosts

image-20240521170208514

访问网站

image-20240521170231234

密码和密钥都在jar包中

image-20240521170900855

查看docker发现docker的13306映射到外部的3306端口,navicat连接

image-20240521171332412

发现管理员密码

image-20240521171443019

bcrypt加密,换成123456即可

image-20240521171541229

image-20240521171613511

登录

image-20240521171634546

涉案服务器集群中,Java服务器web服务监听的端口为?【多选题】

  • A. 9030
  • B. 9031
  • C. 9032
  • D. 9033

涉案服务器集群中,数据库服务器中Docker容器的数量为?【答案格式:1】

1
2

涉案服务器集群中,数据库服务器有一个mysql容器节点,该容器的ID前六位为?【答案格式:abc123】

1
docker inspect

涉案服务器集群中,数据库服务器mysql容器节点的数据库版本号为?【答案格式:1.1.1】

进docker

1
5.7.44

image-20240521171830368

从外部访问涉案网站”鲸易元MALL管理系统”管理后台所使用的域名为?【多选】

  • A. jy.proxy2.jshcloud.cn
  • B. master.jy.proxy2.jshcloud.cn
  • C. jy.proxy.jshcloud.cn
  • D. master.jy.proxy.jshcloud.cn

都写进去分别访问看看(●’◡’●)

1
BD

“鲸易元MALL管理系统”管理后台所使用的网站框架为?

  • A. TOMCAT
  • B. SPRING_BOOT
  • C. Struts
  • D. THINKPHP

看jar包

image-20240521172124023

“鲸易元MALL管理系统”管理后台运行时,依赖了几种不同的数据库?【答案格式: 123】

1
2

“鲸易元MALL管理系统”管理后台运行时,在生产环境(prod)下所连接的mysql服务器密码为?【答案格式: 123】

jar包

image-20240521170900855

“鲸易元MALL管理系统”管理后台中Aliyun OSS对应的密钥KEY是为?【答案格式: Abc123】

jar包

image-20240521172210403

“鲸易元MALL管理系统”管理后台中,管理员(admin)的账号密码采用了什么样的加密方式?【答案格式:rc4】(不区分大小写)

前面有

1
Bcrypt

“鲸易元MALL管理系统”管理后台中,管理员(admin)账号绑定的手机号码为?【答案格式: 18818881888】

image-20240521172257176

“鲸易元MALL管理系统”管理后台中,会员的数量为?【答案格式: 123】

image-20240521172334736

“鲸易元MALL管理系统”管理后台中,会员级别为“总代”的数量为?【答案格式: 123】

image-20240521172352187

“鲸易元MALL管理系统”管理后台中,以“推荐人id”做为上级id对会员进行层级分析,总层级为多少层?(最高层级视为1层)【答案格式: 123】

比赛用navicat手搓错了几道,学习以下网矩使用

image-20240521181741572

image-20240521181901602

“鲸易元MALL管理系统”管理后台中,会员编号为sgl01的下游人数(伞下会员)数量为?【答案格式: 123】

image-20240521182958942

image-20240521183043523

“鲸易元MALL管理系统”管理后台中,会员编号为sgl01的下游人数(伞下会员)充值总金额合计为多少元/RMB【答案格式: 123】

两张表一起导入

相当于left join

image-20240521183426154

image-20240521183631889

“鲸易元MALL管理系统”管理后台中,已支付订单的数量为?【答案格式: 123】

订单管理

“鲸易元MALL管理系统”管理后台中,已支付订单的支付总金额总计为多少元/RMB?【答案格式: 123】

导出求和

“鲸易元MALL管理系统”管理后台中,在提现账号管理页面中银行卡的记录数为?【答案格式: 123】

image-20240521184111125

“鲸易元MALL管理系统”管理后台中,打款成功的提现记录数量为?【答案格式: 123】

image-20240521184048293

“鲸易元MALL管理系统”管理后台中,打款成功的提现应打款金额总计为多少元/RMB?【答案格式: 123】

导出

image-20240521184449047

“鲸易元MALL管理系统”管理后台中,拼券活动D仓位的收益率为?【答案格式: 100%】

image-20240521184616200