2021年4月25日,上午8点左右,警方接到被害人金某报案,声称自己被敲诈数万元;经询问,昨日金某被嫌疑人诱导裸聊,下载了某“裸聊”软件,导致自己的通讯录和裸聊视频被嫌疑人获取,对其进行敲诈,最终金某不堪重负,选择了报警;警方从金某提供的本人手机中,定向采集到了该“裸聊”软件的安装包–zhibo.apk(检材一),请各位回答下列问题:(题目中需要通过分析出来的答案对检材二三四五解压,解压密码为IP的情况,需要在密码后增加-CAB2021,例:192.168.100.100-CAB2021)
1 请计算检材一Apk的SHA256值
3fece1e93be4f422c8446b77b6863eb6a39f19d8fa71ff0250aac10f8bdde73a
2 该APK的应用包名为
plus.H5B8E45D3
3 该APK程序在封装服务商的应用唯一标识(APPID)为
H5B8E45D3
4 “该APK具备下列哪些危险权限(多选题):
A.读取短信 B.读取通讯录 C.读取精确位置 D.修改通讯录 E.修改短信”
ABCDE
5 “该APK发送回后台服务器的数据包含一下哪些内容(多选题):
A.手机通讯录 B.手机应用列表 C.手机号码 D.验证码 E.GPS定位信息”
ACDE
在apk的资源文件/assets/apps/H5B8E45D3/www/index.html中找到sojsonv4的加密字符串
解密后得出结果
6 该APK程序回传通讯录时,使用的http请求方式为()
POST
7 该APK程序的回传地址域名为【标准格式:www.abc.com】
www.honglian7001.com
8 该APK程序代码中配置的变量apiserver的值为【标准格式:www.abc.com/abc】
www.honglian7001.com/api/uploads
实际就是baseUrl
9 分析该APK,发现该程序还具备获取短信回传到后台的功能,短信上传服务器接口地址为【标准格式:www.abc.com/abc】
www.honglian7001.com/api/uploads/apisms
拿baseUrl拼接得出
10 经分析,发现该APK在运行过程中会在手机中产生一个数据库文件,该文件的文件名为
test.db
11 经分析,发现该APK在运行过程中会在手机中产生一个数据库文件,该数据库的初始密码为
c74d97b01eae257e44aa9d5bade97baf
用Frida分析可得出结果
经过掌握的APK程序后台服务器回连地址,警方成功调取该服务器的镜像,请使用第7题的答案对检材二进行解压进行分析,并回答下列问题:
12 检材二的原始硬盘的SHA256值为:
E6873068B83AF9988D297C6916329CEC9D8BCB672C6A894D393E68764391C589
13 查询涉案于案发时间段内登陆服务器的IP地址为【标准格式:111.111.111.111】
192.168.110.203
14 请对检材二进行分析,并回答该服务器在集群中承担的主要作用是()【格式:文件存储】
负载均衡服务器
这里有三台服务器,可知这是负载均衡服务器
15 上一题中,提到的主要功能对应的服务监听的端口为:
80
查看日志可得监听了本机的80端口
16 上一题中,提到的服务所使用的启动命令为:
node app.js
17 经分析,该服务对于请求来源IP的处理依据是:根据请求源IP地址的第()位进行判断【标准格式:9】
3
文件为/opt/honglianjingsai/chronusNode/controllerADProxy.js
注意这里数组下标从0开始
18 经分析,当判断条件小于50时,服务器会将该请求转发到IP为()的服务器上【标准格式:111.111.111.111】
192.168.110.111
19 请分析,该服务器转发的目标服务器一共有几台【标准格式:9】
3
20 请分析,受害者通讯录被获取时,其设备的IP地址为【标准格式:111.111.111.111】
192.168.110.252
从案情可以知道要查24号的日志
只有一个了,导出来看
只有这个IP的UA头是手机的
21 请分析,受害者的通讯录被窃取之后,经由该服务器转发到了IP为()的服务器上【标准格式:111.111.111.111】
192.168.110.113
**通过对检材二的分析,警方进一步掌握并落地到了目标服务器地址,通过对服务器进行证据固定,得到服务器镜像–检材三,请使用第21题答案对检材三进行解密并分析,回答下列问题: **
22 检材三的原始硬盘的SHA256值为:
205C1120874CE0E24ABFB3BB1525ACF330E05111E4AD1D323F3DEE59265306BF
23 请分析第21题中,所指的服务器的开机密码为:
honglian7001
这个蒙的
24 嫌疑人架设网站使用了宝塔面板,请问面板的登陆用户名为:
hl123
确定192.168.110.113为web3机器
根据分析可得
25 请分析用于重置宝塔面板密码的函数名为
set_panel_pwd
26 请分析宝塔面板登陆密码的加密方式所使用的哈希算法为
MD5
27 请分析宝塔面板对于其默认用户的密码一共执行了几次上题中的哈希算法
1
28 请分析当前宝塔面板密码加密过程中所使用的salt值为【区分大小写】
v87ilhAVumZL
29 请分析该服务器,网站源代码所在的绝对路径为
/www/wwwroot/www.honglian7001
30 请分析,网站所使用的数据库位于IP为()的服务器上(请使用该IP解压检材五,并重构网站)【标准格式:111.111.111.111】
192.168.110.115
检材五需要用RAID重构,这里使用工具R-Studio进行数据恢复
检测完成后进行创建镜像进行导出,并使用火眼仿真,建议导出格式选择dsk,即逐字节镜像
31 请分析,数据库的登陆密码为【区分大小写】
wxrM5GtNXk5k5EPX
32 请尝试重构该网站,并指出,该网站的后台管理界面的入口为【标准格式:/web】
/admin
33 已该涉案网站代码中对登录用户的密码做了加密处理。请找出加密算法中的salt值【区分大小写】
lshi4AsSUrUOwWV
34 请分析该网站的管理员用户的密码为:
security
这里要分析网站的日志,位置在www.honglian7001/runtime/log/202104
35 在对后台账号的密码加密处理过程中,后台一共计算几次哈希值
3
36 请统计,后台中,一共有多少条设备记录
6002
37 请通过后台确认,本案中受害者的手机号码为
18644099137
这题需要结合检材五中的手机镜像
由上图可知,受害者在2021/04/24-14:39左右安装的软件,所以可以定位到设备和手机号
38 请分析,本案中受害者的通讯录一共有多少条记录
34
按照上题给的手机号查找可得
**通过对检材二和三进行分析,警方通过IP落地,警方掌成功抓获犯罪嫌疑人,现将嫌疑人的PC机和手机进行了取证,分别制作了镜像,请使用第13题的答案对检材四进行解密,并回答下列问题 **
39 请计算检材四-PC的原始硬盘的SHA256值
E9ABE6C8A51A633F809A3B9FE5CE80574AED133BC165B5E1B93109901BB94C2B
40 请分析,检材四-PC的Bitlocker加密分区的解密密钥为
511126-518936-161612-135234-698357-082929-144705-622578
41 请分析,检材四-PC的开机密码为
12306
42 经分析发现,检材四-PC是嫌疑人用于管理服务器的设备,其主要通过哪个浏览器控制网站后台
chrome
43 请计算PC检材中用户目录下的zip文件的sha256值
0DD2C00C8C6DBDEA123373F91A3234D2F07D958355F6CD7126E397E12E8ADBB3
44 请分析检材四-phone,该手机的IMEI号为
868668043754436
首选第一个IMEI号
45 请分析检材四-phone,嫌疑人和本案受害者是通过什么软件开始接触的【标准格式:支付宝】
伊对
46 请分析检材四-phone,受害者下载恶意APK安装包的地址为
https://cowtransfer.com/s/a6b28b4818904c
47 请分析检材四-phone,受害者的微信内部ID号为
wxid_op8i06j0aano22
受害者微信名为金先生
48 请分析检材四-phone,嫌疑人用于敲诈本案受害者的QQ账号为
1649840939
只有这个qq号有金先生
49 请综合分析,嫌疑人用于管理敲诈对象的容器文件的SHA256值为
9C4BE29EB5661E6EDD88A364ECC6EF004C15D61B08BD7DD0A393340180F15608
找到了我的赚钱工具
解压,发现有密码,尝试使用该机器的密码进行解压
解压成功,仿真机器
密码用火眼分析出来的
发现有快照,退回试试
退回发现多了很多文件,怀疑小白鼠是镜像文件,key是VeryCrypt的密钥文件
加载成功,直接计算SHA256即可
50 请综合分析嫌疑人检材,另外一受害者“郭先生”的手机 号码为
15266668888
在上面的容器中可以找到郭先生
51 通过嫌疑人检材,其中记录了几位受害者的信息
5
容器里面有五个人
52 请使用第11题的密码解压“金先生转账.zip”文件,并对压缩包中的文件计算SHA256值
cd62a83690a53e5b441838bc55ab83be92ff5ed26ec646d43911f119c15df510
解压出来是转账记录
53 请综合分析,受害者一共被嫌疑人敲诈了多少钱(转账截图被隐藏在多个地方)
6600
还有一个是在检材5里面,有一个我的账单表,里面有blob
总金额:600+1000+2000+2000+1000=6600
