下载链接：https://pan.baidu.com/s/1pJDwwNy14o-kAstHkndWPg?pwd=1234

容器密码：2024Fic@杭州PoweredbyHL!

案情介绍

2024年4月，卢某报案至警方，声称自己疑似遭受了“杀猪盘”诈骗，大量钱财被骗走。卢某透露，在

与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏，起初资金出入均属正常。但随

后，李某称赌博平台为提升安全性，更换了地址和玩法，转为通过群聊抢红包形式进行赌博。随着赌资不

断增加，卢某投入巨额资金后，发现无法再访问该网站，同时李某也失去联系，卢某遂意识到自己被骗。

在经济压力下，卢某选择报警，并承认参与赌博活动，愿意承担相应法律后果。

警方依据卢某提供的线索和手机数据，迅速锁定犯罪团伙，并在一藏匿地点成功抓获犯罪嫌疑人李某

和赵某。警方对嫌疑人持有的物品进行了证据固定：李某手机被标记为检材1，窝点内服务器为检材2，赵

某使用的计算机为检材3。

接下来，请取证工作者根据案情和这些检材进行深入分析，并解答后续问题。

个人推荐完成顺序：手机->Windows镜像->服务器集群

手机部分

1. 嫌疑人李某的手机型号是？

A. Xiaomi MI 2s

B. Xiaomi MI 4

C. Xiaomi MI 6

D. Xiaomi MI 8

B

反查设备代号可知，这台设备是MI 3W/MI 4 LTE，选项没有MI 3，所以选MI 4


2. 嫌疑人李某是否可能有平板电脑设备，如有该设备型号是？

A. iPad Pro 11

B. Vivo Pad 2

C. MatePad Pro

D. Xiaomi Pad 6s

D


3. 嫌疑人李某手机开启热点设置的密码是?【答题格式：abc123】

5aada11bc1b5


4. 嫌疑人李某的微信内部ID是？【答题格式：wxid_abc123】

wxid_wnigmud8aj6j12


5. 嫌疑人李某发送给技术人员的网站源码下载地址是什么？【答题格式：http://www.baidu.com/adc】

http://192.168.8.17:3000/


6. 受害者微信用户ID是？【答题格式：abc123】

wxid_u6umc696cms422

从聊天可知，limoon是受害者


直接查就行


7. 嫌疑人李某第一次连接WIFI的时间是？

A. 03-14 15:55:57

B. 03-14 16:55:57

C. 03-14 17:55:57

D. 03-14 18:55:57

B

查找连接记录的源文件，在同级目录下面能找到WifiConfigStore.xml，创建时间就是第一次连接WiFi的时间


8. 分析嫌疑人李某的社交习惯，哪一个时间段消息收发最活跃？

A. 12:00-14:00

B. 14:00-16:00

C. 16:00-18:00

D. 18:00-20:00

C

查看嫌疑人的聊天记录，发现大多数发送时间是在16:00-18:00之间

9. 请分析嫌疑人手机，该案件团伙中，还有一名重要参与者警方未抓获，该嫌疑人所使用的微信账号ID为？【答题格式：wxid_abc123】

wxid_06f01lnpavn722

发现聊天记录里面包含合作的就是愚蠢的土拨鼠


10. 请分析嫌疑人手机，嫌疑人老板组织人员参与赌博活动，所使用的国内访问入口地址为？【答题格式：192.168.1.1:1000/abc】

192.168.110.110:8000/login


服务器集群部分

ESXI仿起来要尽量多给点内存，不然里面的虚拟机跑不动

还有需要将虚拟网卡设置为与ESXi同一网段，不然容易乱掉


1. esxi服务器的esxi版本为？【关键字得分，答题格式：1.2】

6.7

仿真起来看就看到了


2. 请分析ESXi服务器，该系统的安装日期为：

A. 2024 年 3 月 12 日 星期二 02:04:15 UTC

B. 2024 年 3 月 12 日 星期二 02:05:15 UTC

C. 2024 年 3 月 12 日 星期二 02:06:15 UTC

D. 2024 年 3 月 12 日 星期二 02:07:15 UTC

A

这里需要进入ESXI的后台，位置是在https://192.168.8.112/ui/#


用户名为root，密码为空，进入后台，得到时间


3. 请分析ESXi服务器数据存储“datastore”的UUID是？【答题格式：a1a1-b1b1-c1c1-d1d1】

65efb8a8-ddd817f6-04ff-000c297bd0e6

用火眼仿真的话，存储盘可能会掉，需要重新挂载回来

参考链接：https://blog.csdn.net/hzgnet2021/article/details/122047428


恢复过程中就有uuid了

4. ESXI服务器的原IP地址？【答题格式：255.255.255.0】

192.168.8.112


没有更改过IP的话，答案就是静态IP地址

5. ESXI服务器中共创建了几个虚拟机？【答题格式：1】

4


6. 网站服务器绑定的IP地址为？【答题格式：255.255.255.0】

192.168.8.89

网站服务器是www，启动起来看


7. 网站服务器的登录密码为？【答题格式：abc123】

qqqqqq

这里需要由Windows部分的字典进行爆破，这里用fscan对22端口进行爆破


得到root的密码为qqqqq

8. 网站服务器所使用的管理面板登陆入口地址对应的端口号为：【答案格式：1111】

14131

查端口号查到了有nginx+python，还有8888端口，猜测是宝塔


使用宝塔命令查看


9. 网站服务器的web目录是？【答题格式：/etc】

/webapp

在根目录下面有个webapp的目录


里面有网站的源码


10. 网站配置中Redis的连接超时时间为多少秒【答题格式：20】

10

webapp里面有若依的jar包，提取出来看


11. 网站普通用户密码中使用的盐值为【答题格式：123abc!@#】

!@#qaaxcfvghhjllj788+)_)((

定位到jar包的com.ruoyi.web.controller.app.UserController内的updatePassword方法


12. 网站管理员用户密码的加密算法名称是什么

A. des

B. rsa

C. md5

D. bcrypt

D

定位到com.ruoyi.web.controller.system.SysUserController中的/resetPwd接口


追踪SecurityUtils.encryptPassword


发现使用的是BCrypt

13. 网站超级管理员用户账号创建的时间是？

A. 2022-05-09 12:44:41

B. 2022-05-09 13:44:41

C. 2022-05-09 14:44:41

D. 2022-05-09 15:44:41

C

这里需要联动data虚拟机，把网站仿真起来，这里需要按照Windows中的运维笔记进行修改ruoyi-admin.jar


首先，从www中的/webapp提取ruoyi-admin.jar的配置文件

<font style="color:rgb(51, 51, 51);">jar xf ruoyi-admin.jar BOOT-INF/classes/application-druid.yml</font>

修改url中的地址为data的ip，密码修改成宝塔面板内root的密码




更新配置文件到jar包内
jar uf ruoyi-admin.jar BOOT-INF/classes/application-druid.yml

再次查看修改时间，修改时间为当前时间证明替换成功


修改完链接池后还要修改application.yml


修改完配置文件之后，还要修改MySQL的表数据，说的是定时任务插件执行时间问题，这里用要爆破data机器的ssh，做法和爆破www机器相同，使用root/hl@7001登录上了data机器，开启docker和mysql容器


修改sys_job表


在www上启动后端，启动好之后是会有验证码


需要在sys_users表中将admin的密码修改一下

https://blog.csdn.net/hackermmm/article/details/131923434

这里是老板的若依，没有加盐，所以可以直接改数据库数据


成功登录

14. 重构进入网站之后，用户管理下的用户列表页面默认有多少页数据【答题格式：20】

10


15. 该网站的系统接口文档版本号为【答题格式：1.1.1】

3.8.2


16. 该网站获取订单列表的接口【答题格式：/abc/abc】

/api/shopOrder


17. 受害人卢某的用户ID【答题格式：11223344】

10044888

由手机中的聊天记录可知，卢某的昵称是lu123456


按照这个账号去找id即可


18. 受害人卢某一共充值了多少钱【答题格式：123456】

465222

查询充值订单就有了


150000+100000+200000+10000+5222=465222

19. 网站设置的单次抽奖价格为多少元【答题格式：20】

10

在抽奖信息的设置抽奖价格就有了


20. 网站显示的总余额数是【答题格式：20.12】

7354468.56

在用户列表里面的资金统计有的看


21. 网站数据库的root密码【答题格式：abc123】

hl@7001

网站数据库的root密码是hl@7001，用给定的字典爆破ssh就可以，操作和爆破www相同

22. 数据库服务器的操作系统版本是【答题格式：1.2.1234】

7.9.2009

用cat /etc/*-release就能看


23. 数据库服务器的Docker Server版本是【答题格式：1.10.0】

1.13.1

上面已经启动过docker的mysql了，这里直接看就好


24. 数据库服务器中数据库容器的完整ID是【答题格式：123abcd】

9bf1cecec3957a5cd23c24c0915b7d3dd9be5238322ca5646e3d9e708371b765

用–no-trunc就不会将id缩写了


25. 数据库服务器中数据库容器使用的镜像ID【答题格式：123abcd】

66c0e7ca4921e941cbdbda9e92242f07fe37c2bcbbaac4af701b4934dfc41d8a


26. 数据库服务器中数据库容器创建的北京时间

A. 2024/3/13 12:15:23

B. 2024/3/13 20:15:23

C. 2024/3/14 00:15:23

D. 2024/3/13 08:15:23

C

这里先使用docker info查看容器放在哪里


再定位到docker下面的container，进入到具体容器id的文件夹，cat里面的config.v2.json即可看到创建时间


找到时间之后，再确定该机器所在的时区


可以看到时区并非是CST，EDT是东部的夏令时，比我们晚12小时，这里需要加回12小时，即2024年3月14日00:15:23

27. 数据库服务器中数据库容器的ip是【答题格式：255.255.255.0】

172.17.0.2

用命令<font style="color:rgb(77, 77, 77);">docker network inspect bridge | grep IPv4Address</font>看


28. 分析数据库数据，在该平台邀请用户进群最多的用户的登录IP是【答题格式：255.255.255.0】

182.33.2.250

拉群相关的表是app_group_member表


我们需要统计哪个inviter_id出现的次数最多

SELECT inviter_id,count(*) as 邀请人数 FROM app_group_member GROUP BY inviter_id ORDER BY 邀请人数 DESC


找到了id是55320342，直接去查他的ip就好


29. 分析数据库数据，在该平台抢得最多红包金额的用户的登录IP是【答题格式：255.255.255.0】

43.139.0.193

抢红包数额相关的表是app_user_record


这里写sql语句，筛选出user_id和每个user的money总数

SELECT user_id, SUM(money) as sum FROM app_user_record WHERE notes = '抢群红包' GROUP BY user_id ORDER BY sum desc


跟上面一样，按照id去找ip就好了


30. 数据库中记录的提现成功的金额总记是多少（不考虑手续费）【答题格式：20.12】

35821148.48

提现记录是在app_user_withdraw里面


编写sql语句查询，状态为3表示提现成功


31. rocketchat服务器中，有几个真实用户？【答题格式：1】

3

这里将服务器导出到了本地，所以ip和案件里面不同（因为ESXi上面跑这个机器不出ip，而且把密码恢复了后面也好做题）


由手机聊天的历史记录可以知道，聊天服务器是在3000端口的，所以访问3000端口


在Windows里面的Bitlocker加密磁盘拿到登录账号密码登录


进入系统


查看目录->用户，可以看到有四个用户，其中有一个bot


32. rocketchat服务器中，聊天服务的端口号是？【答题格式：80】

3000

这个在上面聊天记录有，不说了

33. rocketchat服务器中，聊天服务的管理员的邮箱是？【答题格式：abc@abc.com】

admin@admin.com

这里要连MongoDB看，由于服务器没有对外公开端口，所以这里要搭建隧道访问


然后再查每个容器的ip

docker inspect --format='{{.Name}} - {{range.NetworkSettings.Networks}}{{.IPAddress}}{{end}}' $(docker ps -aq)


然后再用navicat连接，先写好ssh隧道，host要写成MongoDB docker的ip



在MongoDB里面，找到有admin权限的用户

可以看到提供给我们的账号其实就是admin


或者在聊天室里面也有


34. rocketchat服务器中，聊天服务使用的数据库的版本号是？【答题格式：1.2.34】

5.0.24

进到容器里面去看


或者在聊天室里面也有


35. rocketchat服务器中，最大的文件上传大小是？（以字节为单位）【答题格式：1024】

104857600

在设置->文件上传里面有


36. rocketchat服务器中，管理员账号的创建时间为？

A. 2024/3/14 8:18:54

B. 2024/3/14 8:19:54

C. 2024/3/14 8:17:54

D. 2024/3/14 8:15:54

B

由上面题目可以知道，昵称Zhao是管理员，所以查数据库可以知道


37. rocketchat服务器中，技术员提供的涉诈网站地址是？【答题格式：http://192.168.1.1】

http://172.16.80.47

频道里面有聊到这个网站


38. 综合分析服务器，该团伙的利润分配方案中，老李的利润占比是多少【答题格式：10%】

35%

可以知道老苏和老李35%


这里题目感觉不合理，明明问的是老李，答案非要拉上老苏和老李一起…

39. 综合分析服务器，该团队“杀猪盘”收网的可能时间段为

A. 2024/3/15 15:00:00-16:00:00

B. 2024/3/15 16:00:00-17:00:00

C. 2024/3/15 17:00:00-18:00:00

D. 2024/3/15 18:00:00-19:00:00

B

看聊天记录，收网应该是叫老赵关服务器那个时间段


40. 请综合分析，警方未抓获的重要嫌疑人，其使用聊天平台时注册邮箱号为？【答题格式：abc@aa.com】

lao@su.com

从手机部分可以知道，还有一个重要嫌疑人是老苏，在管理->用户里面可以看到邮箱号


41. 分析openwrt镜像，该系统的主机名为【答题格式：MyPC】

iStoreOS

主机名一登录进去就有了


42. 分析openwrt镜像，该系统的内核版本为【答题格式：12.34.56】

5.10.201


43. 分析openwrt镜像，该静态ip地址为【答题格式：192.168.1.1】

192.168.8.5

由ip a可以知道，外部ip地址是192.168.8.131，所以这里改个密码，ssh进去看配置文件

Openwrt的网卡配置在/etc/config/network


44. 分析openwrt镜像，所用网卡的名称为【答题格式：abc123】

br-lan

ip a就能看到


45. 分析openwrt镜像，该系统中装的docker的版本号为【答题格式：12.34.56】

20.10.22

luci里面可以看得到


46. 分析openwrt镜像，nastools的配置文件路径为【答题格式：/abc/abc/abc】

/root/Configs/NasTools

在服务里面找到NasTools


里面有配置文件路径

47. 分析openwrt镜像，使用的vpn代理软件为【答题格式（忽略大小写）：abc123】

PassWall 2

翻找发现只有PassWall 2有订阅信息


48. 分析openwrt镜像，vpn实际有多少个可用节点【答题格式：6】

54

上图有

49. 分析openwrt镜像，节点socks的监听端口是多少【答题格式：1234】

1070

基本设置里有


50. 分析openwrt镜像，vpn的订阅链接是【答题格式：http://www.baidu.com/aaa/bbb/ccc/ddd?privatekey=abc123456789】

https://pqjc.site/api/v1/client/subscribe?token=243d7bf31ca985f8d496ce078333196a

在节点订阅的下方有


Windows镜像部分

1. 分析技术员赵某的windows镜像，并计算赵某计算机的原始镜像的SHA1值为？【忽略大小写】

FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD6

2. 分析技术员赵某的windows镜像，疑似VeraCrypt加密容器的文件的SHA1值为？【忽略大小写】

b25e2804b586394778c800d410ed7bcdc05a19c8

VC容器在用户文档里面


3. 据赵某供述，他会将常用的密码放置在一个文档内，分析技术员赵某的windows镜像，找到技术员赵某的密码字典，并计算该文件的SHA1值?【忽略大小写】

e6eb3d28c53e903a71880961abb553ef09089007

上图的commonPwd.txt就是密码字典

4. 据赵某供述，他将加密容器的密码隐写在一张图片内，隐写在图片中的容器密码是?

qwerasdfzxcv

图片就是在pswd.jpg（如果说看腿也能有密码的话


这个密码并不能打开vc容器，需要对图片进一步分析


去掉空格就是答案了

5. 分析技术员赵某的windows镜像，bitlocker的恢复密钥是什么【答题格式：111111-222222-333333-444444-555555-666666-777777-888888】

404052-011088-453090-291500-377751-349536-330429-257235

恢复密钥在加密容器里面


6. 分析技术员赵某的windows镜像，bitlocker分区的起始扇区数是【答题格式：1024】

146794496

bitlocker分区是E盘


7. 分析技术员赵某的windows镜像，默认的浏览器是

A. Chrome

B. Edge

C. IE

D. firefox

A


8. 分析技术员赵某的windows镜像，私有聊天服务器的密码为【答题格式：abc123】

Zhao

密码在Bitlocker分区里面的文本文件


9. 分析技术员赵某的windows镜像，嫌疑人计算机中有疑似使用AI技术生成的进行赌博宣传的图片，该图片中，宣传的赌博网站地址为？【答题格式：www.baidu.com】

www.585975.com


10. 分析技术员赵某的windows镜像，赵某使用的AI换脸工具名称为？【答题格式：abcd】

A. stable diffusion

B. ROOP

C. Midjourney

D. DiffusionDraw

B

在D盘下面找到的


11. 分析技术员赵某的windows镜像，使用AI换脸功能生成了一张图片，该图片的名称为【答题格式：1.txt】

db.jpg

找到终端记录


12. 分析技术员赵某的windows镜像，ai换脸生成图片的参数中–similar-face-distance值为【答题格式：20.12】

0.85

上图有

13. 分析技术员赵某的windows镜像，嫌疑人使用AI换脸功能所使用的原始图片名称为【答题格式：abc.txt】

dst01.jpeg

上图有

14. 分析技术员赵某的windows镜像，赵某与李某沟通中提到的“二维码”解密所用的网站url地址为？【答题格式：http://www.baidu.com/1.html】

http://www.honglian7001.com/down

在聊天记录找到这个赵某的聊天记录


拿去解码


加密出来是佛曰，根据聊天记录拿去佛曰解密，解密网站在Chrome的历史记录里


直接解密


15. 分析技术员赵某的windows镜像，赵某架设聊天服务器的原始IP地址为？【答题格式：192.168.1.1】

192.168.8.89

在finalshell里面找到连接记录


16. 分析技术员赵某的windows镜像，据赵某交代，其在窝点中直接操作服务器进行部署，环境搭建好了之后，使用个人计算机登录聊天室进行沟通，请分析赵某第一次访问聊天室的时间为？

A. 2024-03-14 20:30:08

B. 2024-03-14 20:31:08

C. 2024-03-14 20:32:08

D. 2024-03-14 20:33:08

C

在手机聊天记录里面找到了聊天室IP


查看历史记录可以知道时间


17. 分析技术员赵某的windows镜像，openwrt的后台管理密码是

hl@7001

由历史记录可以知道路由器的后台IP


在保存的密码里面再找这个IP即可


18. 分析技术员赵某的windows镜像，嫌疑人可能使用什么云来进行文件存储？【答题格式：阿里云】

易有云

历史记录里面可以知道用了易有云


19. 分析技术员赵某的windows镜像，工资表密码是多少【答题格式：abc123】

aa123456

用commonPwd.txt爆破密码，这里试了三个就出来了


20. 分析技术员赵某的windows镜像，张伟的工资是多少【答题格式：20】

28300