2025獬豸杯

手机取证

1.登录的直播APP的IDX是什么?[标准格式:25236541]

image-20250402184904091

用ocr搜索idx可以直接搜出来

2.目前直播的等级名称是什么?[标准格式:碌碌无为]

上图

3.地图中哪座山有绝望坡?[标准格式:太行山]

image-20250402185120281

4.手机的历史SIM卡中,中国电信卡的IMSI是多少?[标准格式:123456789]

image-20250402185242821

在sim卡使用记录中查询

5.1月22日16:40的会议号是多少?[标准格式:xxx-xxx-xxx]

image-20250402185413496

在ocr中搜索16:40

6.网易会议中个人会议号是多少?[标准格式:2523654199]

image-20250402185734708

搜索出了两个,挨个试一下

7.记账软件中一共记了几笔?[标准格式:9]

image-20250402185908915

8.谁给了机主100000?[标准格式:某某]

image-20250402191750283

9.聊天软件是否需要手机号登录?[标准格式:填写是或者否]

image-20250402192027646

找到聊天软件盒子IM

img

导出查看,无需手机号

10.机主的给对方的活有多少钱?[标准格式:53100]

image-20250402192519420

11.机主的手机号是多少?[标准格式:13652492155]

image-20250402192612092

12.手机的IMEI1后四位是多少?[标准格式:2536]

image-20250402192704423

13.手机上一共有几个地图软件?[标准格式:9]

image-20250402192747189

计算机取证

1.网卡的Mac地址是多少?[标准格式:XX-XX-XX-XX-XX-XX]

image-20250402192932313

在网络连接里找到

2.系统内部版本号是多少?[标准格式:12345]

image-20250402193453530

因为是5位,所以填写前五位

3.计算机系统开机密码是多少?[标准格式:根据实际值填写]

image-20250402194714602

4.分析计算机检材中手机流量包,请问黑客虚拟身份的密码是什么?[标准格式:x123]

image-20250402201415054

在虚拟机中找到手机流量包,然后用fiddler分析

image-20250402201507195

搜索login发现密码

5.分析计算机检材中手机流量包,请问黑客人员使用的夜神模拟器的手机型号是什么?[标准格式:XX-X123X]

image-20250407191108020

ctrl+f 搜索yeshen

6.分析计算机检材中手机流量包,请问黑客看视频的时间是几月份?[标准格式:1]

搜索mp4搜索到了好几个

image-20250407191643511

这个是游戏网页的

image-20250407191845927

这个才是

7.分析计算机检材中手机流量包,请问“天戮宇宙”出自哪个小说平台?[标准格式:番茄小说网]

搜索book,一个个找

image-20250407193102542

8.请问在手机模拟器中勒索apk软件的sha256值是什么?[标准格式:全小写]

image-20250407202644765

在嵌套证据识别里找到夜神模拟器的镜像文件,添加到检材分析发现没有apk文件

image-20250407202948081

又打开虚拟机去找备份文件

image-20250407203218672

找出后把npbk文件后缀改为7z解压缩,再把nox-disk2镜像文件放到火眼里分析

image-20250407203357531

将apk文件导入雷电分析,获取sha256的值

image-20250407203751682

9.接上题,请问勒索apk软件的解锁密码是什么?[标准格式:qwer.com]

image-20250407211108557

10.signed_xz.exe程序SHA1后6位是多少?[标准格式:524c62]

image-20250407211936864

11.signed_xz.exe程序中的函数名为curl_version_info的函数地址是多少?[标准格式:0c6875c2]

image-20250407213100707

这里用ida分析一下

12.signed_xz.exe程序中节名为.reloc的虚拟地址是多少?[标准格式:0c526n5624]

image-20250408193428472

用CFF可以直接查到

13.请分析检材中澳门新葡京APK其包名是?[标准格式:com.abcd.xxx]

image-20250408182054727

14.请分析检材中澳门新葡京APK是否加固,加固则说明是什么加固?[标准格式:360加固宝或未加固]

image-20250408182315807

15.请分析检材中澳门新葡京APK是否会往手机的SD卡中写入数据,则该权限的名称是?[标准格式:android.xx.xxx]

image-20250408182421964

16.请分析检材中澳门新葡京APK登录的api地址。[标准格式:https://www.baidu.com/api/login]

dc646e54b9faec03fed1dac10228442

点击登录和注册的时候,用雷电http抓包

image-20250408191217113

17请分析检材中澳门新葡京APK其中关于腾讯运营商的服务留存了QQ号是?[标准格式:123456790]

image-20250408191638035

在雷电敏感信息中搜索qq

image-20250408191719192

18.请分析Navicat中root用户的密码是什么?[标准格式:@123Aa]

image-20250408191953506

服务器取证

1.该集群主节点操作系统版本是?[标准格式:100.100.100]

image-20250410181026919

2.该集群创建时间是?[标准格式:0000-00-00T00:00:00Z]

kubectl cluster-info dump 查看集群的详细信息,但是使用这个指令会有一大串的信息,很难找到集群的创造时间。

image-20250410185720347

默认命名空间自动创建:在 Kubernetes 集群初始化创建的过程中,default 命名空间作为系统默认的一部分自动创建。当你搭建集群时,在集群初始化的关键步骤中,default 命名空间就会被创建出来。这意味着它的创建和集群的启动是紧密相连的,时间上非常接近。
也就是说可以通过查看default命名空间的创建时间来查看集群的创建时间。

kubectl get namespace default -o yaml 最终使用这个命令找到集群的创造时间

此命令会以 YAML 格式(一种人类可读的数据序列化格式输出 default 命名空间的详细信息,可以在输出中找到 creationTimestamp 字段来获取创建时间。

image-20250410185103861

3.该集群共有多少个命名空间?[标准格式:100]

1
2
3
查看命名空间
$ kubectl get namespaces
简写为:$ kubectl get ns

image-20250410190149947

4.该集群所有命名空间内总共有多少个pod?[标准格式:100]

1
kubectl get pod -A

image-20250410190851320

5.请给出该集群所使用的cni网络插件及其版本?[标准格式:abc-V1.1.1]

问AI查到CNI 插件的配置文件通常存储在节点的 /etc/cni/net.d/ 目录中。

image-20250410192020501

因此答案:flannel-V0.3.1 可答案不对。后来看到CNI 插件的二进制文件通常存储在 /opt/cni/bin/ 目录中。

1
2
3
通过命令
/opt/cni/bin/flannel -version
查看 fllannel 的版本

image-20250410192842285

6.其中打金平台的后台登录地址跳转文件是?[标准格式:abc.php]

image-20250415191526762

用火眼搜索到服务器2、3分别有两个网站,直接用浏览器是打不开的。

现在先在hosts文件中添加这几个网站

image-20250415191816498

启动宝塔,按照给的网址打开

image-20250415191928136

image-20250415192027105

进去之后发现四个网站分别是

image-20250415192239351

image-20250415192256521

image-20250415192310154

image-20250415192323037

发现没有打金网站,可以猜测图一www.mtbtsdafda.com是打金平台

图三是借贷,图四是交友,图二在后面的题有提到是金瑞币(JINRUI COIN)

现在需要找到打金平台的后台登陆地址跳转文件

image-20250415192619620

根据题目说的.php后缀,找到php文件

image-20250415192713687

image-20250415192800289

image-20250415192813632

用WIdbdgd1Us.php里给的地址:/index.php/systemlogined/login/index

得到后台地址

http://www.mtbtsdafda.com/index.php/systemlogined/login/index

image-20250415192840405

7.其中打金平台密码加密算法是?[标准格式:abc]

image-20250415194645604

在宝塔界面中搜索password

8.其中打金平台中”13067137585”用户的累计产量有多少?[标准格式:100.00]

在宝塔文件里搜索13067137585,搜索结果很杂,不好根据搜索结果得出累计产量,在搜索结果中还能看到用户对应的password但是sha1解密后的密码都登不上去。所以还是连上数据库,在数据库里面找更直接。

image-20250415204208652

先连接服务器再连接数据库

数据库账号和密码

image-20250415204357649

image-20250415204534243

image-20250415204232836

image-20250415204133569

找到13067137585加密后的password:03ddb77b41e0d41a8a186d4fd87c546d6fe41eec

在网上找了一些解密的网站,发现能解出来密码的网站都要钱(因为所谓逆向解密的方法是在一个很大的人工哈希数据库里去枚举匹配,密文本身是不可能逆向解密的)

那么现在的思路是:我们可以更改数据库的数据,将简单密码如123456的sha1加密值替换原值
image-20250415210638732

网站👉SHA1 在线加密工具 | 菜鸟工具 得到7c4a8d09ca3762af61e59520943dc26494f8941b

image-20250415210714068

登录后可以查看到累计产量

9.其中打金平台会员组最高溢价比例是多少?[标准格式:10.00]