2024fic晋级赛复盘

write by n1tro

案情设计：

2024年4月，卢某报案至警方，声称自己疑似遭受了“杀猪盘”诈骗，大量钱财被骗走。卢某透露，在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏，起初资金出入均属正常。但随后，李某称赌博平台为提升安全性，更换了地址和玩法，转为通过群聊抢红包形式进行赌博。随着赌资不断增加，卢某投入巨额资金后，发现无法再访问该网站，同时李某也失去联系，卢某遂意识到自己被骗。

在经济压力下，卢某选择报警，并承认参与赌博活动，愿意承担相应法律后果。警方依据卢某提供的线索和手机数据，迅速锁定犯罪团伙，并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。警方对嫌疑人持有的物品进行了证据固定：

李某手机被标记为检材1，窝点内服务器为检材2，赵某使用的计算机为检材3。

接下来，请取证工作者根据案情和这些检材进行深入分析，并解答后续问题。

检材1：李某手机

1. 嫌疑人李某的手机型号是？B

A. Xiaomi MI 2s

B. Xiaomi MI 4

C. Xiaomi MI 6

D. Xiaomi MI 8

挂载分析完毕后可以在基本信息中看到蓝牙的设备型号，MI3W，但是选项中没有，在文件中查看手机的基本信息文件useragent.txt,得到答案是MI 4

2. 嫌疑人李某是否可能有平板电脑设备，如有该设备型号是？D

A. iPad Pro 11

B. Vivo Pad 2

C. MatePad Pro

D. Xiaomi Pad 6s

可能有的平板设备，可以翻看蓝牙连接情况和wifi连接情况，查看分析板块的wifi连接情况，可以看到是xiaomi Pad 6s

嫌疑人李某手机开启热点设置的密码是?
同样是直接能在分析板块的“移动热点”看到，密码为5aada11bc1b5
嫌疑人李某的微信内部ID是？
在微信中可以看到内部id是wxid_wnigmud8aj6j12
嫌疑人李某发送给技术人员的网站源码下载地址是什么
翻看聊天记录，可以看到和老赵之间的交流提到了网站源码的下载地址，给了一个二维码，扫描后得到“新佛曰”开头的编码，（由于该种编码已经被原作者闭源下架，直接提供答案，主要是需要能识别常用编码的特征）（新佛曰：諸隸僧殿降吽諸陀摩隸殿僧殿缽殿薩願僧殿宣摩殿嚴願殿是迦咒叻吶嚤須塞亦須阿隸嚤須愍眾殿蜜殿隸願蜜哆蜜亦願是念慧殿隸摩哆殿即隸嚤訶須隸亦愍如如殿囑殿囑）
答案：http://www.honglian7001.com/down
二维码识别网站：https://tuzim.net/zxdecode/（也开始使用微信扫描，但是不会显示内容，最下方直接复制内容即可）
受害者微信用户ID是？
同样在聊天记录中翻看，能看到交钱的是limoon890，在好友列表里查看id为limoon890

7. 嫌疑人李某第一次连接WIFI的时间是？B

A. 03-14 15:55:57

B. 03-14 16:55:57

C. 03-14 17:55:57

D. 03-14 18:55:57

在文件中查看文档搜索关键词wifi，可以找到连接时间是03-14 16:55:57.249

8. 分析嫌疑人李某的社交习惯，哪一个时间段消息收发最活跃？C

A. 12:00-14:00

B. 14:00-16:00

C. 16:00-18:00

D. 18:00-20:00

微信板块直接能查看消息统计

请分析嫌疑人手机，该案件团伙中，还有一名重要参与者警方未抓获，该嫌疑人所使用的微信账号ID为？
还是分析聊天记录，结合被抓获的赵和李，还有他们的上线沈总没被抓，对应微信id是wxid_06f01lnpavn722
请分析嫌疑人手机，嫌疑人老板组织人员参与赌博活动，所使用的国内访问入口地址为？
在刚才的聊天记录上翻，可以看到国内入口的ip地址为：192.168.110.110:8000/login

检材2：窝点内服务器

esxi服务器

esxi服务器的esxi版本为？
使用火眼仿真把服务器给搭起来
可以看到识别的系统版本为6.7.0

2. 请分析ESXi服务器，该系统的安装日期为：A

A. 2024年3月12日星期二 02:04:15 UTC

B. 2024年3月12日星期二 02:05:15 UTC

C. 2024年3月12日星期二 02:06:15 UTC

D. 2024年3月12日星期二 02:07:15 UTC

仿真完毕启动镜像，也可以看到版本号6.7.0，下面可以看到管理ip，点击f2进入管理，选择configure Management Network,回车进入配置页面，光标停到ipv4，回车进入选择，选择动态分配地址，回车保存后等待一会会出现新的ip，在本地浏览器访问进入管理页

可以看到时间为2024 年 3 月 12 日星期二 02:04:15 UTC

3.请分析ESXi服务器数据存储“datastore”的UUID是？

还是刚才的首页下方，找到datastore点击跳转，可以看到uuid是65efb8a8-ddd817f6-04ff-000c297bd0e6

ESXI服务器的原IP地址？
原IP就是刚才的静态ip：192.168.8.112

5.ESXI服务器中共创建了几个虚拟机？

下属虚拟机一共四个

6.网站服务器绑定的IP地址为？

到这发现前面的设置影响到后面做题了，蠢到自己了，返回把ip修改会原来的静态ip，把虚拟网络管理器中的nat子网段调整为192.168.8.0，重新打开管理页面，找到虚拟机下的www，启动起来，就能看到ip：192.168.8.89

网站服务器的登录密码为？
在计算机检材中可以找到一个常用密码文档，用作字典启动hydra来跑一下账号密码
一般linux账户就是root，密码为qqqqqq
网站服务器所使用的管理面板登陆入口地址对应的端口号为：
一般就是宝塔面板管理，为方便我使用本地机的shell工具连接一下上题的服务器，输入bt打开面板菜单选择14看端口号为14131
网站服务器的web目录是？
访问内网面板地址，为了进入宝塔面板管理，修改一下密码，bt 5修改一下，进入后在设置中可以看到建站目录是www/wwwroot，但是里面没有源码，往上级目录翻看能找到个webapp，里面有建站源码。
网站配置中Redis的连接超时时间为多少秒？
Bt面板里查看，超时时间为0
网站普通用户密码中使用的盐值为？
在刚才的webapp目录下下载一下源码ruoyi-admin.Jar,用jadx打开，比较难找，搜索关键词就是encrypasswd，盐值为!@#qaaxcfvghhjllj788+)\_)((

12.网站管理员用户密码的加密算法名称是什么？D

A. des

B. rsa

C. md5

Bcrypt
搜一下关键词crypt，能看到bcrypt

13.网站超级管理员用户账号创建的时间是？

网站重构

14.重构进入网站之后，用户列表页面默认有多少页数据？

15. 该网站的系统接口文档版本号为？

16. 该网站获取订单列表的接口是？

17.受害人卢某的用户ID？

18.受害人卢某一共充值了多少钱？

19.网站设置的单次抽奖价格为多少元？

20.网站显示的总余额数是？

21.网站数据库的root密码是？

数据库服务器

22.数据库服务器的操作系统版本是？

23.数据库服务器的Docker Server版本是？

24.数据库服务器中数据库容器的完整ID是？

25.数据库服务器中数据库容器使用的镜像ID？

26.数据库服务器中数据库容器创建的北京时间是？

A. 2024/3/13 12:15:23

B. 2024/3/13 20:15:23

C. 2024/3/14 00:15:23

D. 2024/3/13 08:15:23

27.数据库服务器中数据库容器的ip是？

28.分析数据库数据，在该平台邀请用户进群最多的用户的登录IP是？

29.分析数据库数据，在该平台抢得最多红包金额的用户的登录IP是？

30. 数据库中记录的提现成功的金额总记是多少？（不考虑手续费）

rocketchat服务器

31.rocketchat服务器中，有几个真实用户？

32. rocketchat服务器中，聊天服务的端口号是？

33.rocketchat服务器中，聊天服务的管理员的邮箱是？

34.rocketchat服务器中，聊天服务使用的数据库的版本号是？

35.rocketchat服务器中，最大的文件上传大小是？（以字节为单位）

36.rocketchat服务器中，管理员账号的创建时间为：

A. 2024/3/14 8:18:54

B. 2024/3/14 8:19:54

C. 2024/3/14 8:17:54

D. 2024/3/14 8:15:54

37.rocketchat服务器中，技术员提供的涉诈网站地址是：

服务器综合分析

38.综合分析服务器，该团伙的利润分配方案中，老李的利润占比是多少？

39.综合分析服务器，该团队“杀猪盘”收网的可能时间段为：

A.2024/3/15 15:00:00-16:00:00

B.2024/3/15 16:00:00-17:00:00

C.2024/3/15 17:00:00-18:00:00

D.2024/3/15 18:00:00-19:00:00

40.请综合分析，警方未抓获的重要嫌疑人，其使用聊天平台时注册邮箱号为？

openwrt服务器

41.分析openwrt镜像，该系统的主机名为：

42.分析openwrt镜像，该系统的内核版本为：

43.分析openwrt镜像，该静态ip地址为：

44.分析openwrt镜像，所用网卡的名称为：

45.分析openwrt镜像，该系统中装的docker的版本号为：

46.分析openwrt镜像，nastools的配置文件路径为：

47.分析openwrt镜像，使用的vpn代理软件为:

48.分析openwrt镜像，vpn实际有多少个可用节点?

49.分析openwrt镜像，节点socks的监听端口是多少?

50.分析openwrt镜像，vpn的订阅链接是:

检材3：赵某计算机

分析技术员赵某的windows镜像，并计算赵某计算机的原始镜像的SHA1值为？
火眼点击即可计算（请注意是原始镜像的sha1值）FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD6
分析技术员赵某的windows镜像，疑似VeraCrypt加密容器的文件的SHA1值为？
Vc容器文件的特点，一般没有后缀，有后缀的话有也是非常见的文件后缀，在最近打开中能看到这个文件的后缀是fic，疑似vc文件，在火眼中选择文件，搜索2024.fic，右键选择计算哈希，选择对应sha1即可。hash为B25E2804B586394778C800D410ED7BCDC05A19C8
据赵某供述，他会将常用的密码放置在一个文档内，分析技术员赵某的windows镜像，找到技术员赵某的密码字典，并计算该文件的SHA1值?
同样在最近的文档中可以看到一个叫commonPwd.txt的文件，就是常用密码了，在火眼里找到来计算一下即可，hash为E6EB3D28C53E903A71880961ABB553EF09089007
据赵某供述，他将加密容器的密码隐写在一张图片内，隐写在图片中的容器密码是？
同样在仿真的计算机镜像中可以看到一个图片叫pswd.jpg,火眼中找到该图片打开可以看到密码为!Q2w#e$R,但是不对，观察一下图片的十六进制位是否有问题，得到真实的密码在尾部隐写（这里考察图片隐写术的相关操作，可以搜索一下相关知识点）密码为：qwerasdfzxcv
分析技术员赵某的windows镜像，bitlocker的恢复密钥是什么？
还是在最近打开文件中可以看到一个文件名是恢复密钥，但是恢复密钥应该是48位数字，还有个恢复密钥文件路径是z盘，看起来就是vc挂载盘，把前面题目获取的vc文件挂载起来，得到了恢复密钥为：404052-011088-453090-291500-377751-349536-330429-257235
分析技术员赵某的windows镜像，bitlocker分区的起始扇区数是？
从上题可知bitlocker分区为E盘，从案件里找到E盘的起始扇区为146794496

7.分析技术员赵某的windows镜像，默认的浏览器是？A

A. Chrome

B. Edge

C. IE

Firefox
从基本信息中可以看到默认浏览器是chrome

8.分析技术员赵某的windows镜像，私有聊天服务器的密码为：

刚才解密的e盘里有个私有聊天密码，就是目标密码：Zhao

9.分析技术员赵某的windows镜像，嫌疑人计算机中有疑似使用AI技术生成的进行赌博宣传的图片，该图片中，宣传的赌博网站地址为？

在e盘里很多图片，很明显就是ai生成的图片，在其中有个3.webp文件上有赌博网站的网址。

网址为www.585975.com

10.分析技术员赵某的windows镜像，赵某使用的AI换脸工具名称为？B

A. stable diffusion

B. ROOP

C. Midjourney

D. DiffusionDraw

在D盘下可以看到ROOP的文件夹，同时下面还有炼丹素材的文件夹，明显也是用于生成图片用的

分析技术员赵某的Windows镜像，使用AI换脸功能生成了一张图片，该图片的名称为：
从上题可以点进去看到这是个python编写的程序，查看命令终端的运行历史，可以发现输出照片是db.jpg
分析技术员赵某的Windows镜像，ai换脸生成图片的参数中--similar-face-distance值为：
同上题，在这可以找的命令的参数为0.85
分析技术员赵某的Windows镜像，嫌疑人使用AI换脸功能所使用的原始图片名称为：
同上题，原始图片为dst01.jpeg
分析技术员赵某的Windows镜像，赵某与李某沟通中提到的“二维码”解密所用的网站url地址为？
上面手机部分提到了是新佛曰编码，在浏览器历史记录中可以找到http://hi.pcmoe.net/buddha.html
分析技术员赵某的Windows镜像，赵某架设聊天服务器的原始IP地址为？
历史记录中可以看到192.168.8.0网段的就是服务器ip：192.168.8.17