24FIC线下决赛
2024年弘连网络FIC大会竞赛题-0518线下决赛题
案件背景:
2024年3月15日凌晨,受害人短视频平台上看到一段近期火爆的交通事故视频,留言后有人通过私信联系,称有一个赚大钱的机会,该人自称李某,提议让他到他们平台充值做代理;最终受害人发现自己被卷入了一个复杂的网络传销犯罪活动中,从而报案。
经过一段时间的侦查,2023年3月25日,警方最终锁定了”lalala李”网络水军团伙的技术人员卢某,一举拿下了卢某的住所;当天上午,警方开始对卢某某的个人计算机进行现场勘验。在管理工具历史记录中,发现了大量访问某个PVE云服务器控制台的记录。初步判断该云服务器可能为该团伙网络引流的主要平台。
经过进一步追查,警方发现该PVE云服务器租用于某知名云服务商,服务器上运行着数个不同的虚拟机实例;平台通过虚拟软件模拟多部手机,利用网络水军的力量在各大平台发布伪造的图片传播负面新闻,引流受害者加入平台。
在深入分析虚拟机镜像后,警方终于发现这些虚拟机背后运行着一个复杂的网络传销平台!最终,警方展开了一场声势浩大的收网行动,成功捣毁了该犯罪团伙。案件中的主要成员李安弘、卢某某等人均被依法逮捕。
接下来,我们将深入分析关键证据镜像文件,揭开这个庞大网络传销窝点的犯罪事实。
检材情况:
- 卢某个人计算机—PersonalPC.E01,MD5: 6ee6056aaf226c019426c468c0d3bc7b
- PVE服务器调证镜像1—sys.E01,MD5: 31eaaa81bac66fefaa2ea1782c5c047b
- PVE服务器调证镜像2—data.E01,MD5: 9c8086f0763e46b28ff4e5924fe3245d
vc容器密码
1 | 2024Fic~Competition~Finals@杭州&Powered~By~HL! |
网络拓扑
计算机介质部分:
请分析卢某的计算机,并计算原始检材的SHA256值。
嫌疑人回收站中的”备忘录.txt”文件SHA1 值为?
在回收站中
计算即可
嫌疑人使用ssh连接工具,该工具的名称为?【答案格式:fic123】
登录的密码在备忘录里
嫌疑人使用ssh连接工具,其中连接名为node的连接记录,连接的端口为?【答案格式:123】
仿真进入查看即可,或者火眼分析时输入moba的密码
在2024-03-12 17:13左右,嫌疑人计算机最少连接了__台安卓虚拟机。【答案格式:1】
打开此电脑时可以发现
看见adb–>云手机
图片里可以看到截图
软件“QtScrcpy”的配置文件显示,嫌疑人配置了__台安卓虚拟机(以连接端口计数)。【答案格式:123】
数一下
嫌疑人桌面文件”老婆.png”的SHA256哈希值为?【答案格式:abc123】
计算即可
嫌疑人把xls文件藏入老婆.png中,该xls的密码为?【答案格式:Abc123】
嫌疑人桌面”2024年3月13日星期三 日报.docx”文档密码为?【答案格式:Abc123】
比赛用的passwarekit,用了一个半小时,而且这些时间cpu全部跑满,基本干不了别的事情
分离xls
提取文件头进行分离
新建十六进制粘贴进去即可
保存成xls文件即可
用hashcat进行爆破
先获取哈希
john/office2john.py at main · massmatic/john (github.com)
1 | python office2john.py /root/tmp/111.xls |
?1?1?1?1?1?1rd+自定义字符集
passwarekit不做演示了
我的kali用的zsh,得切换成bash先
1 | hashcat -m 9800 -a 3 '$oldoffice$4*107c23885fafc2941281e5ea12155a9c*88fa443a510634975fe401a428fdb5b2*596498685ef86b45dc44ca45e30f6c8d5d366eae' -1 ?l?u?d ?1?1?1?1?1?1rd |
1 | P1ssw0rd |
word同理
1 | hashcat -m 9600 -a 3 '$office$*2013*100000*256*16*12126a7d4fc8a58b5433ddc3fa3638e2*466cbf646d8984a7174d4dce8ec4251e*1d987da8a3b17c1b60a67cc05480dca814a3cfbad77f88326ba63e5a310b52b5' -1 ?l?u?d P?1ssw?1rd |
嫌疑人使用的AI软件名称为?【答案格式:abc-df-abc】
嫌疑人使用的AI软件监听端口为?【答案格式:1】
AI软件安装目录下的“2024-03-13”目录,其中由AI生成的图片有多少张?【答案格式:1】
嫌疑人使用Ai软件生成燃烧的汽车图片使用的模型SHA256哈希值为?
嫌疑人使用Ai软件生成燃烧的汽车图片(00036-957419862.png)使用的正向提示词,包含哪些?
- A. china
- B. high way
- C. fast speed
- D. car on fire
- E. no people
嫌疑人桌面文件”老婆.png”的图像生成种子是__。【答案格式:123】
PVE虚拟化平台部分:
请重构虚拟化平台并回答下列问题:
仿真勾选嵌套虚拟化
配置虚拟网卡
访问IP
root 123456
PVE虚拟化平台版本号为?【答案格式:1.1.1】
PVE虚拟化平台的外部登录地址为【答案格式:192.168.1.1:22】
在PVE虚拟化平台中,当前共有多少个虚拟机?【答案格式:1】
PVE虚拟化平台的“vmbr1”网卡所使用的网段为?【答案格式:192.168.1.0/11】
PVE虚拟化平台中”120(Luck)”虚拟机的smbios uuid为?【答案格式:123abc-123ba-123ad-23ab-12345abczc】
在PVE虚拟化平台中,用户“Lu2k”被授予了多少个虚拟机的使用权限?【答案格式:1】
使用该密码重新登录
在PVE虚拟化平台中,shell历史命令中最后一条命令为?【答案格式:hello world】
请分析嫌疑人最近一次销毁虚拟机的时间为:
- A. 2024-03-13 10:34:20
- B. 2024-03-22 18:06:15
- C. 2024-03-22 18:15:17
- D. 2024-03-22 18:20:55
PVE虚拟化平台的openEuler系统镜像下载的开始时间为?
- A. 2024-03-12 12:03:12
- B. 2024-03-12 12:04:19
- C. 2024-03-12 12:10:09
- D. 2024-03-12 12:11:02
根据嫌犯供述,可通过快照启动PVE虚拟化平台中的云手机。请根据该条线索找到对应虚拟机,其快照的时间为:
- A. 2024-03-12 11:02:32
- B. 2024-03-12 11:24:11
- C. 2024-03-13 10:34:20
- D. 2024-03-13 9:43:23
软路由部分:
请重构软路由环境,并回答下列问题:
软路由root用户的密码是?【答题格式:abc123】
软路由管理面板所用http协议监听的端口为?【答案格式:7001】
软路由的系统版本号为?【答案格式:1.1.1】
软路由的WAN口所配置的网关为?【答案格式:1.1.1.1】
软路由防火墙端口转发规则有多少条记录【答案格式:1】
OpenClash控制面板登录密钥为?【答案格式: Abc123】
OpenClash的局域网代理密码(SOCKS5/HTTP认证信息)为?【答题格式:Abc123】
复写设置
OpenClash的订阅地址为?【答案格式:https://www.forensix.cn】
代理节点”香港501 中继 动态”的服务端口为?【答案格式: 123】
OpenWrt的包管理软件的系统镜像源配置文件的绝对路径是?【答案格式:/root/hl/abc.conf】
云手机部分:
请还原云手机环境,并回答下列问题:
PVE虚拟化平台的虚拟机”101(node1)”的droid用户登录密码为?【答案格式: Abc123】
PVE虚拟化平台的虚拟机”101(node1)”中Docker容器的镜像ID的前六位为?【答案格式:abc123】
在PVE虚拟化平台的node1虚拟机中,容器手机的数量为?【答案格式:1】
在PVE虚拟化平台的node1虚拟机中,若要启动手机容器,有几条前置命令(docker命令不纳入计算)?【答案格式:1】
在PVE虚拟化平台的”101(node1)”虚拟机中启动“priceless_knuth”手机容器后,该安卓手机的蓝牙MAC地址是多少?【答案格式: 12:34:ab:cd:a1:b2】
警方现场勘验过程中,曾使用雷电手机取证软件通过嫌疑人软路由对云手机进行了远程取证,请问以下哪个端口可以明确是取证时使用过的端口?【多选题】
- A. 11111
- B. 12222
- C. 13333
- D. 23333
- E. 24444
- F. 35555
在PVE虚拟化平台的node2中名为loving_shtern的手机映射至软路由中,所占用的端口号为?【答案格式: 123】
在PVE虚拟化平台的node2中loving_shtern手机容器中安装的名为“抖音”安装包的MD5值为?【答案格式: abc123】
借用官方复盘
根据集群中手机内容分析,传销人员在评论区引流使用的qq号为?【答案格式: 123】
通过云手机聊天记录可以得知,涉案传销网站域名为?【答案格式: www.forensix.cn】
涉案服务器集群部分:
请重构服务器环境,并回答下列问题:
导出做(火眼我这里导不出来)
网钜和弘连数据库工具大部分都能梭掉
分配临时ip
分配完记得打快照不太稳定
涉案服务器集群中,sql数据库服务器112(sqlserver)对应的虚拟磁盘的SHA256值为?
路径
1 | /mnt/pve/local2/images/ |
应该是要重新仿真一遍pve
官方题解说可以在里面直接做,我只有nginx是由权限的,其他两个拿不到权限,只能导出做
nginx采用lxc-attach 110
直接连终端
涉案服务器集群中,数据库服务器的root用户密码加密方式为?
- A. SM3
- B. SHA256
- C. MD5
- D. Bcrypt
看shadow
涉案服务器集群中,数据库服务器的内核版本?【答案格式:1.1.1】
网站重构部分
我选择把虚拟机全部拖出来做,创建一张新的fic网卡用于pve的访问,其他的用nat模式写进一个内网
对所有仿真起来的虚拟网卡分配临时ip
1 | ifconfig ethx 192.168.xxx.xxx netmask 255.255.255.0 |
在测试时,发现只有nginx仿真后无法正常启动
查看history发现可以使用lxc-attach 110
进入nginx终端
进入pve,将其他虚拟机关机,只开启nginx,将nginx的网卡桥接至我们的100段的网卡(ens36是100段的网卡)
sqlserver将docker全部启动
javaserver查看历史命令
复制粘贴启动
绑定hosts
访问网站
密码和密钥都在jar包中
查看docker发现docker的13306映射到外部的3306端口,navicat连接
发现管理员密码
bcrypt加密,换成123456即可
登录
涉案服务器集群中,Java服务器web服务监听的端口为?【多选题】
- A. 9030
- B. 9031
- C. 9032
- D. 9033
涉案服务器集群中,数据库服务器中Docker容器的数量为?【答案格式:1】
1 | 2 |
涉案服务器集群中,数据库服务器有一个mysql容器节点,该容器的ID前六位为?【答案格式:abc123】
1 | docker inspect |
涉案服务器集群中,数据库服务器mysql容器节点的数据库版本号为?【答案格式:1.1.1】
进docker
1 | 5.7.44 |
从外部访问涉案网站”鲸易元MALL管理系统”管理后台所使用的域名为?【多选】
- A. jy.proxy2.jshcloud.cn
- B. master.jy.proxy2.jshcloud.cn
- C. jy.proxy.jshcloud.cn
- D. master.jy.proxy.jshcloud.cn
都写进去分别访问看看(●’◡’●)
1 | BD |
“鲸易元MALL管理系统”管理后台所使用的网站框架为?
- A. TOMCAT
- B. SPRING_BOOT
- C. Struts
- D. THINKPHP
看jar包
“鲸易元MALL管理系统”管理后台运行时,依赖了几种不同的数据库?【答案格式: 123】
1 | 2 |
“鲸易元MALL管理系统”管理后台运行时,在生产环境(prod)下所连接的mysql服务器密码为?【答案格式: 123】
jar包
“鲸易元MALL管理系统”管理后台中Aliyun OSS对应的密钥KEY是为?【答案格式: Abc123】
jar包
“鲸易元MALL管理系统”管理后台中,管理员(admin)的账号密码采用了什么样的加密方式?【答案格式:rc4】(不区分大小写)
前面有
1 | Bcrypt |
“鲸易元MALL管理系统”管理后台中,管理员(admin)账号绑定的手机号码为?【答案格式: 18818881888】
“鲸易元MALL管理系统”管理后台中,会员的数量为?【答案格式: 123】
“鲸易元MALL管理系统”管理后台中,会员级别为“总代”的数量为?【答案格式: 123】
“鲸易元MALL管理系统”管理后台中,以“推荐人id”做为上级id对会员进行层级分析,总层级为多少层?(最高层级视为1层)【答案格式: 123】
比赛用navicat手搓错了几道,学习以下网矩使用
“鲸易元MALL管理系统”管理后台中,会员编号为sgl01的下游人数(伞下会员)数量为?【答案格式: 123】
“鲸易元MALL管理系统”管理后台中,会员编号为sgl01的下游人数(伞下会员)充值总金额合计为多少元/RMB【答案格式: 123】
两张表一起导入
相当于left join
“鲸易元MALL管理系统”管理后台中,已支付订单的数量为?【答案格式: 123】
订单管理
“鲸易元MALL管理系统”管理后台中,已支付订单的支付总金额总计为多少元/RMB?【答案格式: 123】
导出求和
“鲸易元MALL管理系统”管理后台中,在提现账号管理页面中银行卡的记录数为?【答案格式: 123】
“鲸易元MALL管理系统”管理后台中,打款成功的提现记录数量为?【答案格式: 123】
“鲸易元MALL管理系统”管理后台中,打款成功的提现应打款金额总计为多少元/RMB?【答案格式: 123】
导出
“鲸易元MALL管理系统”管理后台中,拼券活动D仓位的收益率为?【答案格式: 100%】