第二届数证杯决赛个人赛（除逆向和数据分析）

计算机取证

1.请分析计算机检材，用户曾远程连接过IP为192.168.114.51的主机，其远程登陆密码为多少？(答案格式：按实际值填写)

uika

直接看远程桌面是没有内容的，这里仿真进入计算机，win+A取消平板模式，这样看起来更方便。找到RDP软件Remote Desktop Manager，打开找到该主机

2.请分析计算机检材，发现嫌疑人有一定的密码构造习惯，依据其密码使用习惯找出嫌疑人购买拷贝的公民信息表格的密码。(答案格式：按实际值填写)

Doloris@0721

这里需要找到用户的常用密码，找谷歌浏览器的密码记录，但是这里需要用初始的密码登录才可以看到，否则不能验证身份。所以比赛的时候（断网）我们要用hashcat爆破用户密码，但是复现的话可以直接识别出来是D1123

这里基本能看出密码就是Doloris@?d?d?d?d

用这个去爆破公民信息表格，得到密码

3.请分析计算机检材，其中有一模拟器备份文件，请找出用户常用笔记app锁定密码是多少？(答案格式：按实际值填写)

20180818

这里有个小技巧，npbk文件可以导出解压出vmdk文件，这样可以用火眼分析，比直接导入备份到夜神模拟器要方便一点

找到笔记记录本，然后导入模拟器中，hook验证密码的判断得到20180818

4.接上题，app中记录了保险箱密码，该密码是？(答案格式：按实际值填写)

20250228

这里保存了一个文件路径，找到后是一个残缺的二维码

修补好之后扫描出来是解压密码：KFCVme50
保险箱密码：我的模拟器被勒索的时间【格式：20251001】

根据这个提示，找到勒索文件生成的时间根据时间线来看，这里有一对乱码作为文件名的违规图片，大概就是被勒索的时间了，所以是20250228

5.请分析模拟器备份，内部转账银行卡号是多少？(答案格式：16位数字)

6214861219932969

这里不知道为什么仿真进去输入密码会闪退，好像仿真有问题，不能正常运行，所以先贴一个别人的答案

6.分析计算机检材，嫌疑人通过换脸软件一共生成了几张图片？ (答案格式：仅数字)

5

找到换脸软件，查看output文件，一共5张

7.接上题，嫌疑人使用换脸软件过程中，选择次数最多的源图片名称？(答案格式：包含后缀，如abc123.jpg)

862281175ea6405abda7f2c9c6934ea7.png

这里可以找到生成的json文件，里面记录了源文件是什么，得到使用次数最多的就是了

8.接上题，嫌疑人使用换脸软件过程中，一共尝试了几种换脸模型？(答案格式：仅数字)

3

同理根据deep_swapper_model来判断使用的模型，最后得出有3种

9.请分析计算机检材，嫌疑人有一个密码管理软件，记录了备用机密码，请找到该密码。(答案格式：按实际值填写)

22E4828017

一个keepass的密码文件，用本地的打开就能看到被忘记的密码

10.请分析计算机检材，找出文件MD5哈希值为d58c3e31lec6eaecb9026af9821dad645的文件，写出其文件名。(答案格式：包含后缀，如abc.exe)

index.4682354987edf.js

这里直接搜索会发现没有匹配的hash文件，所以需要把多余磁盘挂载上去

BitLocker密码可以通过桌面上的内存文件获得

373593-428351-679151-463199-488510-484781-386199-578534

进入后对挂载上的磁盘进行哈希集计算，得到是index.4682354987edf.js

11.请分析计算机检材，找出虚拟硬盘内隐藏的VC容器，并使用公民信息表格中身份证号为明显伪造者的地址解密，回答该容器中包含多少个文件(答案格式：仅数字)

4

刚刚找的文件看文件大小，也可以猜到这就是一个vc容器

周杰这里的号码明显是假的，所以密码就是“山东省济南市历下区经十路200号”，打开可以看到有四个文件

12.对计算机检材进行分析，其中有个NAS存储，对NAS磁盘分析，找出姓名为"谢妍尚"的手机号。(答案格式：11位数字)

15743275550

这里看到四个E01文件，猜测是raid重组，ufs直接仿真得到文件内容

看表三就有了

移动终端取证

1.分析手机检材，检材的MEID号是多少？(答案格式：14位数字)

99001844373347

暴搜MEID找到内容，或者火眼直接分析设备信息

2.手机备忘录软件里有一串压缩包解密密码，请问密码是多少？(答案格式：按照实际填写)

xinglo-chat

找到有关note的app，找到数据库内容发现密码

3.手机曾安装过一个小众聊天软件，分析其APP的包名为？ (答案格式：com.tencent.mm)

com.xinglo.chat

根据前一题的密码找到app，查看数据库发现存在聊天记录

4.小众聊天软件官网Email地址疑似被加密，请找出解密密(Key)为？(答案格式：与线索保持一致)

XingLuoChat2024!

5.接上题，请分析小众聊天软件官网的Email地址为？(答案格式：abc@qq.com)

support@xingluochat.com

在缓存中找到一个html页面，edge打开

找到页面隐藏的内容，用之前的key和iv解密

6.在本案件中，张明向王芳已支付的总金额为多少元？(答案格式：仅数字)

780000

这里看xinglo的数据库

一共分为三次咨询费，加在一起即可，一共78w，最后一笔10w定金根据数据库的内容还没有转账成功，根据题目已支付，78w是正确的

7.李伟在非工作时间(18:00 - 次日8:00) 向王芳发送的加密文件数量占其向王芳发送的所有加密文件数量的百分比为多少？(答案格式：10%，四舍五入)

50%

先过滤出李伟和王芳的聊天内容

过滤file类型的内容，找到工作时间以外的记录即可

8.分析手机检材，检材中的记账app是通过应用市场APP安装的，该应用市场的包名是？(答案格式：com.xiaomi.gamecenter)

com.wandoujia.phoenix2

这里不是小米自带的应用商店，用的是豌豆荚安装的

9.分析手机检材，检材中的记账app安装包MD5为？(答案格式：32位字符，字母请大写)

003E9C929ADF12A56770DC5D9C5109A6

找到安装的apk文件，计算哈希即可

10.分析手机检材，嫌疑人记账APP中的支出项一共有几个分类？(答案格式：仅数字)

2（存疑）

我理解的是记账软件中支出有几个分类，但是题目的答案好像是嫌疑人用了几个支出类用了两个

11.分析手机检材，最终张总给了嫌疑人多少钱？(答案格式：100万)

150000

找到这个app中的数据库提到张总的金额转账，仿真一下

frida得到密码0320

进入后得到信息只收了定金，然后后期拿到了尾款，根据时间信息找10月18日之前的账单，可以看到一个定金50000，尾款100000，加起来15w

12.分析手机检材，检材中的记账app的隐私密码是什么？(答案格式：按实际值填写)

0410

就是进入的密码，前面frida跑出来了

服务器取证

1.AI服务的对外端口是多少？(答案格式：仅数字)

7860

找到AI服务的文件夹所在，查看env环境变量文件，得到对外端口

2.当前AI服务共有多少普通用户？(答案格式：仅数字)

8

用“/home/langflow/bin/langflow run --env-file /home/langflow/.env”启动AI服务

启动后验证一下是否成功

在同目录下的out文件中可以看到，服务的文件都保存在/root/.cache/langflow/下

查看其中的数据库即可找到8个普通用户，一个超级用户

3.已知管理员密码是xxxx@2025，x为小写字母，AI服务的管理员明文密码是多少？(答案格式：按实际值填写)

sszb@2025

hashcat爆破即可

hashcat.exe -a 3 -m 3200 pass.txt ?l?l?l?l@2025

得到密码sszb@2025

4.AI服务的对话历史中某个用户上传了一个文件，该文件sha256后八位是多少？ (答案格式：字母大写)

B2D10252

数据库这里看到有一个文件记录，找到计算

5.已知黑客攻击了AI服务器获取了权限，该黑客利用了哪个接口uri进行攻击的？(答案格式：/api/some/path)

6.已知黑客攻击了AI服务器获取了权限，请问黑客反弹shell的连接的端口是多少？(答案格式：80)

7788

看out文件，找到最后反弹shell成功的部分

7.黑客通过ssh登录服务器所用的ip是多少？(格式：192.168.1.1)

172.23.194.110

这里可以猜测就是服务器最后登录的IP

8.已知黑客入侵服务器后植入了一个隐藏文件，该程序的全路径（包括扩展名）为？（答案格式：/path/to/a.ext）

/usr/lib/modules/5.15.0-161-generic/extra/file_hider.ko

在日志文件中找不到相关的痕迹，所以直接对服务器进行查看，先检查内核

lsmod 看到有一个file_hider的模块杯加载了，所以跟进查看

发现加载了一个叫ko的模块，可以推测这就是黑客用于持久化的隐藏模块

网络流量分析

1.被攻击ip开放了多少个端口？（答案格式：仅数字）

6

用ctf-neta来统计端口.这里其实才也可以得到是第一个IP，但是复现还是看一下流量包内容

根据这里的访问记录可以得到这里有扫描后台的行为，确定是这个IP了

到这里可以得到答案是7，但是可以看到一个4444端口，做到后面知道这是一个后续打开用于连接shell的端口，并不是IP本身开放的，所以是6个

2.攻击者攻击的站点是什么内容管理系统？（答案格式：字母小写）

seacms

根据图片可以大致猜测是一个cms系统，但是不能确定网站名称

再通过搜索cms找到网站名称，或者再流量包中的index.php的回显中也可以看到seacms的网站名称

3.攻击者通过暴力破解获取到的用户账号的密码是多少？（答案格式：按实际值填写）

cslab

这里可以直接用neta来分析登录成功的账号密码

也可以通过分析login.php的流量包

4.攻击者上传的恶意文件MD5值为多少？（答案格式：字母大写）

4A5D7DB9CDFBBE9EF6BE58ADD2DD7D43

跟进后续的流量包，关注到notify.php

很明显的蚁剑流量，解密流量找到恶意文件

有在线环境的话验证一下，没毛

5.攻击者使用蚁剑执行的最后一条命令是什么？（答案格式：按实际值填写）

cd /d "C:/WWW/data/admin"&zhengxiang.exe

解密流量得到命令

6.通过流量分析可知，攻击者最终采用何种标准远控载荷类型，以维持正向连接Shell?（答案格式如：linux/x86/meterpreter/reverse_tcp）

windows/x64/shell/bind_tcp

根据木马类型和被攻击的IP端口可以判断是正向连接4444端口的TCP端口的shell，所以去看最后连接的流量包

根据内容可以判断是一个windows界面的交互性shell，不是meterpreter的会话