2024FIC 初赛复现

部分参考来自:
https://blog.csdn.net/qq_17282985/article/details/138305271
https://www.cnblogs.com/WXjzc/p/18166538

单行模式修改密码总结

Centos

按e进入单行模式然后在如下位置加入 “init=/bin/sh”;

image-20251204212719644

init=/bin/sh

然后按下ctrl+x进入加载界面随后修改根目录的修改权限,并重新挂载(默认只读,不可修改)

mount -o rw,remount /

随后修改密码

passwd root

生效selinux,并重启

touch /.autorelabel
 
exec /sbin/init

等待重启,使用新密码验证

然后直接重启

init 6

Debian

按e进入单行模式

image-20251205164335098

找到启动参数替换

ro quiet


rw init=/bin/bash

然后ctrl+x保存并退出

然后和centos一样执行如下

# 重新挂载文件系统为可读写
mount -o remount,rw /

# 重置root密码(输入时无显示)
passwd root

随后重启

exec /sbin/init

Ubuntu

和Debian基本一样,按e进入单行模式

img

修改linux启动项

linux    /boot/vmlinuz-xxx root=UUID=xxx ro quiet splash $vt_handoff


linux    /boot/vmlinuz-xxx root=UUID=xxx rw init=/bin/bash

按ctrl+x保存并退出进入单行

mount -o rw,remount /

passwd root

exec /sbin/init

偶尔改密码会报错

提示Authentication token manipulation error

这是因为系统做了固化,将/etc/shadow /etc/passwd目录加锁了

只需要运行chattr -i /etc/passwd /etc/shadow

用chattr命令将i/a权限撤销

VC密码

解压密码:2024Fic@杭州PoweredbyHL!

案情简介

2024年4月,卢某报案至警方,声称自己疑似遭受了“杀猪盘”诈骗,大量钱财被骗走。卢某透露,在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏,起初资金出入均属正常。但随后,李某称赌博平台为提升安全性,更换了地址和玩法,转为通过群聊抢红包形式进行赌博。随着赌资不断增加,卢某投入巨额资金后,发现无法再访问该网站,同时李某也失去联系,卢某遂意识到自己被骗。在经济压力下,卢某选择报警,并承认参与赌博活动,愿意承担相应法律后果。警方依据卢某提供的线索和手机数据,迅速锁定犯罪团伙,并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。警方对嫌疑人持有的物品进行了证据固定:李某手机被标记为检材1,窝点内服务器为检材2,赵某使用的计算机为检材3。

接下来,请取证工作者根据案情和这些检材进行深入分析,并解答后续问题。

卢某——受害人

李某——犯罪嫌疑人1(引诱卢某)

赵某——犯罪嫌疑人2

李某收集检材

1. 嫌疑人李某的手机型号是?

A. Xiaomi MI 2s

B. Xiaomi MI 4

C. Xiaomi MI 6

D. Xiaomi MI 8

B

小米手机中useragent.txt可以查看手机型号

image-20251204211046409

2. 嫌疑人李某是否可能有平板电脑设备,如有该设备型号是?

A. iPad Pro 11

B. Vivo Pad 2

C. MatePad Pro

D. Xiaomi Pad 6s

D

image-20251204093519486

3. 嫌疑人李某手机开启热点设置的密码是?

5aada11bc1b5

image-20251204093538793

4. 嫌疑人李某的微信内部ID是?

wxid_wnigmud8aj6j12

image-20251204093549917

5. 嫌疑人李某发送给技术人员的网站源码下载地址是什么

技术人员是赵老五

image-20251204093803959

http://www.honglian7001.com/down

6. 受害者微信用户ID是?

limoon890

image-20251204210205389

7. 嫌疑人李某第一次连接WIFI的时间是?

A. 03-14 15:55:57

B. 03-14 16:55:57

C. 03-14 17:55:57

D. 03-14 18:55:57

B

image-20251204210247838

8. 分析嫌疑人李某的社交习惯,哪一个时间段消息收发最活跃?

A. 12:00-14:00

B. 14:00-16:00

C. 16:00-18:00

D. 18:00-20:00

C

image-20251204210456343

9.请分析嫌疑人手机,该案件团伙中,还有一名重要参与者警方未抓获,该嫌疑人所使用的微信账号ID为?

image-20251204210802560

首先赵某和李某是被抓的所以还有老苏

sutan_sutan

10.请分析嫌疑人手机,嫌疑人老板组织人员参与赌博活动,所使用的国内访问入口地址为?

192.168.110.110:8000/login

image-20251204210913815

集群服务器检材

1. esxi服务器的esxi版本为?

image-20251204211238105

首先自动扫出来ESXi 6.7.0

image-20251204212152091

2. 请分析ESXi服务器,该系统的安装日期为:

image-20251204211654569

首先看到在192.168.8.112

配置网卡然后访问一下

image-20251204211814484

image-20251204212403095

2024 年 3 月 12 日 星期二 02:04:15 UTC

3.请分析ESXi服务器数据存储“datastore”的UUID是?

image-20251204212419676

65efb8a8-ddd817f6-04ff-000c297bd0e6

4.ESXI服务器的原IP地址?

image-20251204212442652

192.168.8.112

5.ESXI服务器中共创建了几个虚拟机?

image-20251204212505840

4

网站服务器

6.网站服务器绑定的IP地址为?

按e进入单行模式然后在如下位置加入 “init=/bin/sh”;

image-20251204212719644

init=/bin/sh

然后按下ctrl+x进入加载界面随后修改根目录的修改权限,并重新挂载(默认只读,不可修改)

mount -o rw,remount /

随后修改密码

passwd root

生效selinux,并重启

touch /.autorelabel
 
exec /sbin/init

等待重启,使用新密码验证

然后直接重启

init 6

image-20251204213507870

192.168.8.89

7.网站服务器的登录密码为?

我们先windTerm连接一下

image-20251204213833631

image-20251204214213755

桌面上找到webapp

然后看到里面有jar包,用jadx解析一下,需要等待时间长一点因为包比较大,首先看看

image-20251204215419107

这里注意我们是有宝塔面板的意思就是我们是有数据库密码的

但是有个很扯淡的地方就是他是站库分离的我们现在要把其他的机器开一下

image-20251204215710988

定位到这个data虚拟机,再单行模式改一遍密码

按e进入单行模式然后在如下位置加入 “init=/bin/sh”;

image-20251204212719644

然后按下ctrl+x进入加载界面随后修改根目录的修改权限,并重新挂载(默认只读,不可修改)

mount -o rw,remount /

随后修改密码

passwd root

生效selinux,并重启

touch /.autorelabel
 
exec /sbin/init

等待重启,使用新密码验证

然后直接重启

init 6

然后我们直接把这个docker重启一下

systemctl restart docker

执行如下

docker ps -a
docker start 9b

image-20251204220553294

可以看到数据库密码尝试一下

成功了

image-20251204220804559

好像理解错了但是没事,这个密码正常做法是队友从window里面获取Commonpwd.txt,然后我们尝试进行hydra爆破

┌──(root㉿kali)-[/home/kali/Desktop]
└─# hydra -l root -P commonPwd.txt ssh://192.168.8.89
Hydra v9.5 (c) 2023 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).

Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2024-04-28 18:42:26
[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4
[DATA] max 16 tasks per 1 server, overall 16 tasks, 147 login tries (l:1/p:147), ~10 tries per task
[DATA] attacking ssh://192.168.8.89:22/
[22][ssh] host: 192.168.8.89   login: root   password: qqqqqq



qqqqqq

8.网站服务器所使用的管理面板登陆入口地址对应的端口号为:

上面写过了

14131

9.网站服务器的web目录是?

/webapp

10.网站配置中Redis的连接超时时间为多少秒?

这个在看jar包的时候看到了

10s

11. 网站普通用户密码中使用的盐值为?

在jar包里面定位了一下

image-20251204222321859

但是这里并不是盐值函数

我们再次搜索这个函数

image-20251204223448341

发现在调用这个函数的时候符合盐值位置的salt值为

!@#qaaxcfvghhjllj788+)_)((

12.网站管理员用户密码的加密算法名称是什么?

bcrypt

13.网站超级管理员用户账号创建的时间是?

这个在我们的数据库里面可以看到

image-20251204224454293

2022-05-09 14:44:41

14.重构进入网站之后,用户列表页面默认有多少页数据?

我们需要修改jar包,因为刚才我们很明显在jar包可以看到我们的账号密码配置的都和目前的是不一样的并且需要修改jar包的IP

整个修改过程参考如下 , 同时需要参考运维手册

image-20251205172615374

修改过程就是在/webapp目录下

[root@localhost webapp]# jar xf ruoyi-admin.jar BOOT-INF/classes/application-druid.yml
[root@localhost webapp]# vi BOOT-INF/classes/application-druid.yml
[root@localhost webapp]# jar uf ruoyi-admin.jar BOOT-INF/classes/application-druid.yml

image-20251204231027588

然后再根据笔记修改一下redis

[root@localhost webapp]# jar xf ruoyi-admin.jar BOOT-INF/classes/application.yml
[root@localhost webapp]# vi BOOT-INF/classes/application.yml
[root@localhost webapp]# jar uf ruoyi-admin.jar BOOT-INF/classes/application.yml

image-20251205172930656

修改localhost为127.0.0.1,不要看如上图我的host缩进少调了一格需要给他多调一格

image-20251205173116095

运行

java -jar /webapp/ruoyi-admin.jar //

image-20251205173521075

在进行调用的时候发现报错DEFAULT.TASK_CLASS_NAME105

按照运维手册上的说法是定时任务插件执行时间问题

Sys_job表修改cron_expression 的执行时间对上年份就行

说明我们没有修改正确,再次修改数据库

image-20251205194446042

image-20251205194509308

image-20251205194558143

image-20251205194636490

admin:密码

用账号密码登录

我们知道用的加密算法是Bycrpt,我们需要生成一个btcrpt的123456对数据库里面的数据进行替换,随机生成一个就可以都不太一样

$2a$10$vCOWsJ89VZY7UdOmOpvMdOA6L9Yw2Z3ioiFTXXvwd8uwWwqgOQ1vi

877

image-20251205195611305

15. 该网站的系统接口文档版本号为?

3.8.2

image-20251205195804697

16. 该网站获取订单列表的接口是?

/api/shopOrder

image-20251205195827902

17.受害人卢某的用户ID?

10044888

image-20251205200424611

image-20251205200441359

18.受害人卢某一共充值了多少钱?

465222

image-20251205200515483

19.网站设置的单次抽奖价格为多少元?

10

image-20251205200645468

20.网站显示的总余额数是?

7354468.56

image-20251205201304961

21.网站数据库的root密码是?

my-secret-pw

image-20251205200835023

数据库服务器

22.数据库服务器的操作系统版本是?

CentOS Linux 7 (Core)

image-20251205201415626

23.数据库服务器的Docker Server版本是?

1.13.1

image-20251205202441497

24.数据库服务器中数据库容器的完整ID是?

docker ps --no-trunc

image-20251205202617638

9bf1cecec3957a5cd23c24c0915b7d3dd9be5238322ca5646e3d9e708371b765

25.数据库服务器中数据库容器使用的镜像ID?

66c0e7ca4921e941cbdbda9e92242f07fe37c2bcbbaac4af701b4934dfc41d8a

image-20251205202927151

26.数据库服务器中数据库容器创建的北京时间是?

A. 2024/3/13 12:15:23

B. 2024/3/13 20:15:23

C. 2024/3/14 00:15:23

D. 2024/3/13 08:15:23

docker inspect 9bf1cecec395 --format='{{.Created}}'

image-20251205203129826

2024-03-13T12:15:23.02589108Z

2024 年 3 月 13 日 20:15:23

27.数据库服务器中数据库容器的ip是?

image-20251205204049025

docker inspect 9bf1cecec395

172.17.0.2

28.分析数据库数据,在该平台邀请用户进群最多的用户的登录IP是?

SELECT inviter_id, COUNT(*) AS invite_count
FROM app_group_member
GROUP BY inviter_id
ORDER BY invite_count DESC
LIMIT 10;


55320342

image-20251205215938811

29.分析数据库数据,在该平台抢得最多红包金额的用户的登录IP是?

SELECT user_id, SUM(money) AS total_money
FROM app_user_record
WHERE notes = '抢群红包'
GROUP BY user_id
ORDER BY total_money DESC;


43.139.0.193

image-20251205220025785

image-20251205220102383

30. 数据库中记录的提现成功的金额总记是多少?(不考虑手续费)

SELECT SUM(amount) AS total_amount
FROM app_user_withdraw
WHERE status = 3;


35821148.48

image-20251205220152147

聊天服务器

sudo ufw disable
# 我们还需要解决Debian或者Ubuntu默认不允许root用户远程连接问题
vi /etc/ssh/sshd_config

# 修改配置

将PasswordAuthentication no的注释去掉,并且将no修改为yes

将#PermitRootLogin prohibit-password的注释去掉,将prohibit-password改为yes

31.rocketchat服务器中,有几个真实用户?

之前在window里面我们有找到过

1

image-20251205220642784

admin@admin.com
Zhao

32. rocketchat服务器中,聊天服务的端口号是?

3000

image-20251205220724461

33.rocketchat服务器中,聊天服务的管理员的邮箱是?

admin@admin.com

34.rocketchat服务器中,聊天服务使用的数据库的版本号是?

# mongo --version

5.0.24

image-20251205221051146

35.rocketchat服务器中,最大的文件上传大小是?(以字节为单位)

104857600

image-20251205221417255

36.rocketchat服务器中,管理员账号的创建时间为:

A. 2024/3/14 8:18:54

B. 2024/3/14 8:19:54

C. 2024/3/14 8:17:54

D. 2024/3/14 8:15:54

image-20251205221609684

但是这个很明显不全,我们还是要对数据库进行一个连接

对于这种内部数据库的连接方式如下

image-20251205222118416

image-20251205222550224

37.rocketchat服务器中,技术员提供的涉诈网站地址是:

http://172.16.80.47

image-20251205222824205

38.综合分析服务器,该团伙的利润分配方案中,老李的利润占比是多少?

35%

image-20251205222846869

39.综合分析服务器,该团队“杀猪盘”收网的可能时间段为:

4:14 March 15, 2024

image-20251205222912256

40.请综合分析,警方未抓获的重要嫌疑人,其使用聊天平台时注册邮箱号为?

lao@su.com

image-20251205223040555

openwrt服务器

41.分析openwrt镜像,该系统的主机名为:

iStoreOS

image-20251205223456963

42.分析openwrt镜像,该系统的内核版本为:

Linux version 5.10.201 (build@buildserver) (x86_64-openwrt-linux-musl-gcc (OpenWrt GCC 11.2.0 2023070614) 11.2.0

image-20251205223529658

43.分析openwrt镜像,该静态ip地址为:

http://192.168.8.5/

image-20251205223721372

44.分析openwrt镜像,所用网卡的名称为:

br-lan

image-20251205223642236

45.分析openwrt镜像,该系统中装的docker的版本号为:

20.10.22

image-20251205223803266

46.分析openwrt镜像,nastools的配置文件路径为:

/root/Configs/NasTools

image-20251205223910375

47.分析openwrt镜像,使用的vpn代理软件为:

尝试弱密码123456直接进去了,懒得找了

image-20251205224533638

PassWall 2

48.分析openwrt镜像,vpn实际有多少个可用节点?

54

image-20251205224915574

49.分析openwrt镜像,节点socks的监听端口是多少?

1070

image-20251205224931825

50.分析openwrt镜像,vpn的订阅链接是:

![](https://img2024.cnblogs.com/blog/3360144/202512/3360144-20251205225011041-105383454.png)

image-20251205224949793

赵某计算机检材3

1.分析技术员赵某的windows镜像,并计算赵某计算机的原始镜像的SHA1值为?

c8411136c90fc1e87401aa508271fec971f74dd3

2.分析技术员赵某的windows镜像,疑似VeraCrypt加密容器的文件的SHA1值为?

3.据赵某供述,他会将常用的密码放置在一个文档内,分析技术员赵某的windows镜像,找到技术员赵某的密码字典,并计算该文件的SHA1值?

E6EB3D28C53E903A71880961ABB553EF09089007

4.据赵某供述,他将加密容器的密码隐写在一张图片内,隐写在图片中的容器密码是?

qwerasdfzxcv

image-20251205103003393

image-20251205103200368

image-20251205103254844

BitLocker 驱动器加密恢复密钥 

要验证这是否为正确的恢复密钥,请将以下标识符的开头与电脑上显示的标识符值进行比较。

标识符: 

	69A7402E-84CD-4D15-9FD6-8625D444AABB

如果以上标识符与电脑显示的标识符匹配,则使用以下密钥解锁你的驱动器。

恢复密钥: 

	404052-011088-453090-291500-377751-349536-330429-257235

如果以上标识符与电脑显示的标识符不匹配,则该密钥不是解锁你的驱动器的正确密钥。
请尝试其他恢复密钥,或参阅 https://go.microsoft.com/fwlink/?LinkID=260589 以获得其他帮助。

5.分析技术员赵某的windows镜像,bitlocker的恢复密钥是什么?

404052-011088-453090-291500-377751-349536-330429-257235

6. 分析技术员赵某的windows镜像,bitlocker分区的起始扇区数是

image-20251205103443157

7.分析技术员赵某的windows镜像,默认的浏览器是?

image-20251205103534880

谷歌浏览器

8.分析技术员赵某的windows镜像,私有聊天服务器的密码为:

admin@admin.com
Zhao

image-20251205103555113

9.分析技术员赵某的windows镜像,嫌疑人计算机中有疑似使用AI技术生成的进行赌博宣传的图片,该图片中,宣传的赌博网站地址为?

www.585975.com

image-20251205104340499

10.分析技术员赵某的windows镜像,赵某使用的AI换脸工具名称为?

圈圈AI吧ROOP启动器v0.6

11.分析技术员赵某的Windows镜像,使用AI换脸功能生成了一张图片,该图片的名称为:

db.jpg

image-20251205163333119

12.分析技术员赵某的Windows镜像,ai换脸生成图片的参数中--similar-face-distance值为:

0.85

image-20251205163333119

13.分析技术员赵某的Windows镜像,嫌疑人使用AI换脸功能所使用的原始图片名称为:

dst01.jpeg

image-20251205163333119

14.分析技术员赵某的Windows镜像,赵某与李某沟通中提到的“二维码”解密所用的网站url地址为?

15.分析技术员赵某的Windows镜像,赵某架设聊天服务器的原始IP地址为?

http://192.168.8.17:3000/

image-20251205215631153

16.分析技术员赵某的Windows镜像,据赵某交代,其在窝点中直接操作服务器进行部署,环境搭建好了之后,使用个人计算机登录聊天室进行沟通,请分析赵某第一次访问聊天室的时间为?

4:20 PM March 14, 2024

image-20251205223110325

17.分析技术员赵某的Windows镜像,openwrt的后台管理密码是:

hl@7001

image-20251205223208295

18.分析技术员赵某的Windows镜像,嫌疑人可能使用什么云来进行文件存储?

易有云

image-20251205223405235

19.分析技术员赵某的Windows镜像,工资表密码是多少?

aa123456

image-20251205104114199

20.分析技术员赵某的Windows镜像,张伟的工资是多少?

28300

image-20251205104133675

posted @ 2025-12-05 22:52  萧瑟迪亲传大弟子  阅读(11)  评论(0)    收藏  举报