容器密码2024Fic~Competition~Finals杭州Powered~By~HL!案件背景:2023年3月15日凌晨,受害人短视频平台上看到一段近期火爆的交通事故视频留言后有人通过私信联系称有一个赚大钱的机会该人自称李某提议让他到他们平台充值做代理最终受害人发现自己被卷入了一个复杂的网络传销犯罪活动中从而报案。经过一段时间的侦查2023年3月25日警方最终锁定了lalala李网络水军团伙的技术人员卢某一举拿下了卢某的住所当天上午,警方开始对卢某某的个人计算机进行现场勘验。在管理工具历史记录中,发现了大量访问某个PVE云服务器控制台的记录。初步判断该云服务器可能为该团伙网络引流的主要平台。经过进一步追查,警方发现该PVE云服务器租用于某知名云服务商,服务器上运行着数个不同的虚拟机实例平台通过虚拟软件模拟多部手机,利用网络水军的力量在各大平台发布伪造的图片传播负面新闻,引流受害者加入平台。在深入分析虚拟机镜像后警方终于发现这些虚拟机背后运行着一个复杂的网络传销平台最终,警方展开了一场声势浩大的收网行动,成功捣毁了该犯罪团伙。案件中的主要成员李安弘、卢某某等人均被依法逮捕。接下来,我们将深入分析关键证据镜像文件,揭开这个庞大网络传销窝点的犯罪事实。检材情况1、卢某个人计算机---PersonalPC.E01 MD5:6ee6056aaf226c019426c468c0d3bc7b2、PVE服务器调证镜像1---sys.E01 MD5:31eaaa81bac66fefaa2ea1782c5c047b3、PVE服务器调证镜像2---data.E01 MD5:9c8086f0763e46b28ff4e5924fe3245d计算机介质部分卢某个人计算机PersonalPC.E011 请分析卢某的计算机并计算原始检材的SHA256值。484117F3002E5B876C81DD786F899A439514BB0621D62D58F731E5B344DB36342 嫌疑人回收站中的备忘录.txt文件SHA1 值为fded9342533d92fa46fc4aabd113765a7a352ceb备忘录里的还原一下certutil -hashfile ./Desktop/备忘录.txt SHA13 嫌疑人使用ssh连接工具该工具的名称为【答案格式:fic123】MobaXtermToDesk里面没有连接记录MobaXterm有ssh连接记录4 嫌疑人使用ssh连接工具其中连接名为node的连接记录连接的端口为【答案格式:123】122MobaXterm的密码在备忘录里mobapass00端口1225 在2024-03-12 17:13左右嫌疑人计算机最少连接了__台安卓虚拟机。【答案格式:1】5时间线筛选一下或者在最近访问中也能看到连接5台虚拟机6 软件“QtScrcpy”的配置文件显示嫌疑人配置了__台安卓虚拟机以连接端口计数。【答案格式:123】15QtScrcpy在文档中userdata.ini存储相关数据记载了连接的ip和端口号15个7 嫌疑人桌面文件老婆.png的SHA256哈希值为【答案格式:abc123】02139BF305630CEFFADD6926C202BAE655C79D25A64F5C7A1C62BC4C91C9CCF18 嫌疑人把xls文件藏入老婆.png中该xls的密码为【答案格式:Abc123】P1ssw0rd用010打开xls的文件头为 D0CF11E0搜索文件头从文件头开始往下复制到最后新建十六进制文件粘贴进去保存为xls文件打开需要密码根据备忘录的提示八位大小写字母加数字 最后两位 - ******rd用passwarekit爆破密码是P1ssw0rd9 嫌疑人桌面2024年3月13日星期三 日报.docx文档密码为【答案格式:Abc123】P1ssw1rd密码是P1ssw0rd只修改了数字部分爆破一下10 嫌疑人使用的AI软件名称为【答案格式:abc-df-abc】stable-diffusion-webui文档中的生成美女是Stable Diffusion是AI绘画在火眼中搜一下可知文件位置C:\Users\Luck\AppData\Local\stable-diffusion-webui11 嫌疑人使用的AI软件监听端口为【答案格式:1】786012 AI软件安装目录下的“2024-03-13”目录其中由AI生成的图片有多少张?【答案格式:1】41output文件夹下有两个文件夹第一个是图片集合第二个是13 嫌疑人使用Ai软件生成燃烧的汽车图片使用的模型SHA256哈希值为22E8515AA5985B776AFC1E48647F23F5651A317D2497A91232D03A1C4FEEAE2C生成燃烧的车的模型是v1-5-pruned-emaonly.safetensors [6ce0161689]14嫌疑人使用Ai软件生成燃烧的汽车图片(00036-957419862.png)使用的正向提示词包含哪些A.chinaB.high wayC.fast speedD.car on fireE.no people15 嫌疑人桌面文件老婆.png的图像生成种子是__。【答案格式:123】3719279995PVE虚拟化平台部分仿真先添加系统盘sys再添加data仿真时记得开启虚拟化功能不然无法打开内部虚拟机1 PVE虚拟化平台版本号为【答案格式1.1.1】8.1.4可以看到web管理地址是192.168.71.133:8006修改网卡ipNAT模式访问192.168.71.133:8006即可看到在这里可以调整语言2 PVE虚拟化平台的web管理地址为【答案格式192.168.1.1:22】192.168.71.133:8006见上题图3 在PVE虚拟化平台中当前共有多少个虚拟机【答案格式1】7调整为文件夹视图4 PVE虚拟化平台的“vmbr1”网卡所使用的网段为【答案格式192.168.1.0/11】192.168.100.0/245 PVE虚拟化平台中”120(Luck)”虚拟机的smbios uuid为【答案格式123abc-123ba-123ad-23ab-12345abczc】e9990cd6-6e60-476c-bd37-1a524422a9a86 在PVE虚拟化平台中用户“Lu2k”被授予了多少个虚拟机的使用权限【答案格式1】4点击数据中心-用户-权限7 在PVE虚拟化平台中shell历史命令中最后一条命令为【答案格式hello world】lxc-attach 110进入对应容器8请分析嫌疑人最近一次销毁虚拟机的时间为A.2024-03-13 10:34:20B.2024-03-22 18:06:15C.2024-03-22 18:15:17D.2024-03-22 18:20:552024-03-13 10:34:20销毁2024-03-22 18:06:15销毁2024-03-22 18:15:17销毁2024-03-22 18:20:55不存在9 PVE虚拟化平台的openEuler系统镜像下载的开始时间为A.2024-03-12 12:03:12B.2024-03-12 12:04:19C.2024-03-12 12:10:09D.2024-03-12 12:11:0210根据嫌犯供述可通过快照启动PVE虚拟化平台中的云手机。请根据该条线索找到对应虚拟机其快照的时间为A.2024-03-12 11:02:32B.2024-03-12 11:24:11C.2024-03-13 10:34:20D.2024-03-13 9:43:23软路由部分100Router1 软路由root用户的密码是【答题格式abc123】OP2024fic软路由是100MobaXterm密码如果取不出来就重新分析输入MobaXterm的登录密码就能跑出来了2 软路由管理面板所用http协议监听的端口为【答案格式7001】8080http的端口有8080和443试一下是8080能成功访问3 软路由的系统版本号为【答案格式1.1.1】23.05.24 软路由的WAN口所配置的网关为【答案格式1.1.1.1】192.168.71.2rootOP2024fic成功进入5 软路由防火墙端口转发规则有多少条记录【答案格式1】176 OpenC l a s h控制面板登录密钥为【答案格式:Abc123】MCoYZFwg7 OpenC l a s h的局域网daili密码(SOCKS5/HTTP认证信息)为【答题格式Abc123】WAMqotI9在覆写设置中8 Open C l a s h的dingyue地址为【答案格式https://www.forensix.cn】https://www.amrth.cloud/s/FnT83dutLWlF5via?clash29 daili节点xianggang501 zhongji 动态的服务端口为【答案格式:123】42001在配置管理中10 OpenWrt的包管理软件的系统镜像源配置文件的绝对路径是【答案格式/root/hl/abc.conf】/etc/opkg/distfeeds.conf包软件是opkgopkg.conf 用于全局配置customfeeds.conf 用于自定义仓库。就剩/etc/opkg/distfeeds.conf应该就是系统镜像源配置文件搜了一下确实是他云手机部分101node1、102node21 PVE虚拟化平台的虚拟机101(node1)的droid用户登录密码为【答案格式:Abc123】droid2024fic猜测是这个能成功登录IP是192.168.100.1012 PVE虚拟化平台的虚拟机101(node1)中Docker容器的镜像ID的前六位为【答案格式abc123】d1d4bfdocker ps显示权限不够就sudo su输入密码droid2024fic即可3 在PVE虚拟化平台的node1虚拟机中容器手机的数量为【答案格式1】54在PVE虚拟化平台的node1虚拟机中,若要启动手机容器有几条前置命令docker命令不纳入计算? 【答案格式1】2在备注里modprobe binder_linux devicesbinder,hwbinder,vndbindermodprobe ashmem_linux5在PVE虚拟化平台的101(node1)虚拟机中启动“priceless_knuth”手机容器后该安卓手机的蓝牙MAC地址是多少【答案格式:12:34:ab:cd:a1:b2】3c:5a:b4:01:02:03按照备注命令启动modprobe binder_linux devicesbinder,hwbinder,vndbindermodprobe ashmem_linuxdocker start priceless_knuth启动后查看连接端口priceless_knuth手机连接端口是1111根据端口转发规则转发到192.168.71.100:11111转发到软路由服务器中了使用Windows计算机中的QtScrcpy连接192.168.71.100:11111输入后点击无线连接即可成功连接点击启动服务即可启动手机手机从底部往上拉可看到所有应用点击Setting-About Phone即可看到蓝牙MAC地址6警方现场勘验过程中曾使用雷电手机取证软件通过嫌疑人软路由对云手机进行了远程取证请问以下哪个端口可以明确是取证时使用过的端口【多选题】A.11111B.12222C.13333D.23333E.24444F.35555先找雷电手机取证软件对pve虚拟化平台中的虚拟机进行逐一取证在node2中根据端口转发可知7 在PVE虚拟化平台的node2中名为loving_shtern的手机映射至软路由中所占用的端口号为【答案格式:123】25555端口号是5555映射是255558在PVE虚拟化平台的node2中loving_shtern手机容器中安装的名为“抖音”安装包的MD5值为【答案格式:abc123】0CE8F95BA0401769A9F4860749CC8206阿巴阿巴我都不知道哪里出了问题网上的解决办法没用选择直接在node2中查apk抖音包名是com.ss.android.ugc.aweme出现三个文件夹三个文件夹中的apk的md5值相同9 根据集群中手机内容分析传销人员在评论区引流使用的qq号为【答案格式:123】3791621185只有101里面有qq第一次发现还可以重复选择不同系统进行解析对101选择Android解析10 通过云手机聊天记录可以得知涉案传销网站域名为【答案格式www.forensix.cn】shop.jshcloud.cn传销网站部分110nginx、111javaserver、112sqlserver1 涉案服务器集群中sql数据库服务器112sqlserver对应的虚拟磁盘的SHA256值为0A7D9F77A5903BECE9290F364B410A233A8415DABB35BC1EF585D837681D44E3跑嵌套证据识别没跑出来看网上的wp2024FIC第四届全国网络空间取证竞赛决赛参考wp (qq.com)说是因为开始虚拟化对虚拟机进行了读写操作被修改了重新仿真创建一个不开启虚拟机操作连接xftp证据嵌套识别出的镜像跳转源文件可知存储路径是/mnt/pve/local2/images此存储路径中也有102但不能被识别而且算出来的哈希也不对将112下载到本地计算哈希这个用火眼能识别2涉案服务器集群中数据库服务器的root用户密码加密方式为A.SM3B.SHA256C.MD5D.Bcrypt3 涉案服务器集群中数据库服务器的内核版本【答案格式1.1.1】5.10.04涉案服务器集群中Java服务器web服务监听的端口为【多选题】A.9030B.9031C.9032D.9033javaserver服务器是111历史命令中可以看到启动的是web和api两个jar包java -jar /home/service/jinyi/web/jinyi.web.web.jar --spring.profiles.activeprodjava -jar /home/service/jinyi/api/jinyi.api.api-1.0.0.jar --spring.profiles.activeprod查看jar包的配置文件一般是BOOT-INF/classes/application.yml在web jar包的配置文件中5 涉案服务器集群中数据库服务器中Docker容器的数量为【答案格式1】26 涉案服务器集群中数据库服务器有一个mysql容器节点该容器的ID前六位为?【答案格式abc123】3ba5cb7 涉案服务器集群中数据库服务器mysql容器节点的数据库版本号为?【答案格式1.1.1】5.7.448从外部访问涉案网站鲸易元MALL管理系统管理后台所使用的域名为【多选】A.jy.proxy2.jshcloud.cnB.master.jy.proxy2.jshcloud.cnC.jy.proxy.jshcloud.cnD.master.jy.proxy.jshcloud.cn一个个查看110nginx服务器配置文件域名在proxy.conf反向代理配置文件中网站后台的ip是http://192.168.100.111:9032/9“鲸易元MALL管理系统”管理后台所使用的网站框架为A.TOMCATB.SPRING_BOOTC.StrutsD.THINKPHP查看MANIFEST.MF文件记录了jar包的很多信息MANIFEST.MF文件详解 - DavidGandy - 博客园 (cnblogs.com)10 “鲸易元MALL管理系统”管理后台运行时依赖了几种不同的数据库【答案格式:123】2112里面有两个mysql和redis11 “鲸易元MALL管理系统”管理后台运行时在生产环境(prod)下所连接的mysql服务器密码为【答案格式:123】honglian7001或12 “鲸易元MALL管理系统”管理后台中Aliyun OSS对应的密钥KEY是为【答案格式:Abc123】LfA2sPaJiVW3Th32YeCN0bsD8NIjF7还是在配置文件中13 鲸易元MALL管理系统管理后台中管理员admin的账号密码采用了什么样的加密方式【答案格式rc4】(不区分大小写)bcrypt查看网站对应数据库jinyi在sys_user表中$2a$10$DiQRdqJgAZu94f0Tj6wHDOyu7W0enarVqbglutv0//KsdR9XMfABm 是bcrypt加密14 “鲸易元MALL管理系统”管理后台中,管理员(admin)账号绑定的手机号码为【答案格式:18818881888】1588888888815 “鲸易元MALL管理系统”管理后台中,会员的数量为?【答案格式:123】52908网站重构重构没成功有空再试试先冷静一段时间qaq数据分析部分16 “鲸易元MALL管理系统”管理后台中,会员级别为“总代”的数量为?【答案格式:123】17 “鲸易元MALL管理系统”管理后台中,以“推荐人id”做为上级id对会员进行层级分析总层级为多少层(最高层级视为1层)【答案格式:123】18 “鲸易元MALL管理系统”管理后台中会员编号为sgl01的下游人数(伞下会员)数量为【答案格式:123】19 “鲸易元MALL管理系统”管理后台中会员编号为sgl01的下游人数(伞下会员)充值总金额合计为多少元/RMB【答案格式:123】20 “鲸易元MALL管理系统”管理后台中已支付订单的数量为【答案格式:123】21 “鲸易元MALL管理系统”管理后台中已支付订单的支付总金额总计为多少元/RMB【答案格式:123】22 “鲸易元MALL管理系统”管理后台中在提现账号管理页面中银行卡的记录数为【答案格式:123】23 “鲸易元MALL管理系统”管理后台中打款成功的提现记录数量为【答案格式:123】24 “鲸易元MALL管理系统”管理后台中打款成功的提现应打款金额总计为多少元/RMB【答案格式:123】25 “鲸易元MALL管理系统”管理后台中拼券活动D仓位的收益率为【答案格式:100%】