Loading

2024FIC决赛复现

2024FIC决赛复现

VC密码2024Fic~Competition~Finals@杭州&Powered~By~HL!

整一套题做下来感觉收获良多,确实和各位师傅的水平差距还很多,fighting!

案情简介

2023年3月15日凌晨,受害人短视频平台上看到一段近期火爆的交通事故视频,留言后有人通过私信联系,称有一个赚大钱的机会,该人自称李某,提议让他到他们平台充值做代理;最终受害人发现自己被卷入了一个复杂的网络传销犯罪活动中,从而报案。

经过一段时间的侦查,2023年3月25日,警方最终锁定了“lalala李”网络水军团伙的技术人员卢某,一举拿下了卢某的住所;当天上午,警方开始对卢某某的个人计算机进行现场勘验。在管理工具历史记录中,发现了大量访问某个PVE云服务器控制台的记录。初步判断该云服务器可能为该团伙网络引流的主要平台。

经过进一步追查,警方发现该PVE云服务器租用于某知名云服务商,服务器上运行着数个不同的虚拟机实例;平台通过虚拟软件模拟多部手机,利用网络水军的力量在各大平台发布伪造的图片传播负面新闻,引流受害者加入平台。

在深入分析虚拟机镜像后,警方终于发现这些虚拟机背后运行着一个复杂的网络传销平台!最终,警方展开了一场声势浩大的收网行动,成功捣毁了该犯罪团伙。案件中的主要成员李安弘、卢某某等人均被依法逮捕。

接下来,我们将深入分析关键证据镜像文件,揭开这个庞大网络传销窝点的犯罪事实。

计算机介质部分

1、请分析卢某的计算机,并计算原始检材的SHA256值。

484117F3002E5B876C81DD786F899A439514BB0621D62D58F731E5B344DB3634

2、嫌疑人回收站中的“备忘录.txt”文件SHA1 值为?

fded9342533d92fa46fc4aabd113765a7a352ceb

3 嫌疑人使用ssh连接工具,该工具的名称为?【答案格式:fic123】

MobaXterm

4 嫌疑人使用ssh连接工具,其中连接名为node的连接记录,连接的端口为?【答案格式:123】

122

image

5 在2024-03-12 17:13左右,嫌疑人计算机最少连接了__台安卓虚拟机。【答案格式:1】

5

翻时间线,在附近找到一张截图

image

6 软件“QtScrcpy”的配置文件显示,嫌疑人配置了__台安卓虚拟机(以连接端口计数)。【答案格式:123】

15

image

共有15条记录

7 嫌疑人桌面文件"老婆.png"的SHA256哈希值为?【答案格式:abc123】

02139BF305630CEFFADD6926C202BAE655C79D25A64F5C7A1C62BC4C91C9CCF1

8 嫌疑人把xls文件藏入老婆.png中,该xls的密码为?【答案格式:Abc123】

foremost提取文件,根据备忘录提示爆破

P1ssw0rd

image

9 嫌疑人桌面"2024年3月13日星期三 日报.docx"文档密码为?【答案格式:Abc123】

P1ssw1rd

我的爆破设置好像有点问题,但是也是爆破出来了

image

10 嫌疑人使用的AI软件名称为?【答案格式:abc-df-abc】

stable-diffusion-webui

在docx中可以看到软件截图?直接找到一张AI图片,看路径得到。

image

11 嫌疑人使用的AI软件监听端口为?【答案格式:1】

7860

看历史记录

image

12 AI软件安装目录下的“2024-03-13”目录,其中由AI生成的图片有多少张?【答案格式:1】

41

image

13 嫌疑人使用Ai软件生成燃烧的汽车图片使用的模型SHA256哈希值为?

22E8515AA5985B776AFC1E48647F23F5651A317D2497A91232D03A1C4FEEAE2C

根据简报,找到对应模型,计算哈希即可。

image

14嫌疑人使用Ai软件生成燃烧的汽车图片(00036-957419862.png)使用的正向提示词,包含哪些?

ABD

上题截图中的提示词

15 嫌疑人桌面文件"老婆.png"的图像生成种子是__。【答案格式:123】

010editor直接看。

3719279995

image

PVE虚拟化平台部分

仿真。sys和data盘一起仿真,由于存在嵌套,考虑虚拟化和开大内存和CPU(一开始开小了CPU,启动不起来一些虚拟机)。

配置网段至192.168.71.0

1、PVE虚拟化平台版本号为?【答案格式:1.1.1】

8.1.4

image

2、PVE虚拟化平台的web管理地址为?【答案格式:192.168.1.1:22】

192.168.71.133:8006

3、在PVE虚拟化平台中,当前共有多少个虚拟机?【答案格式:1】

7

image

4、PVE虚拟化平台的“vmbr1”网卡所使用的网段为?【答案格式:192.168.1.0/11】

192.168.100.0/24

5、PVE虚拟化平台中“120(Luck)”虚拟机的smbios uuid为?【答案格式:123abc-123ba-123ad-23ab-12345abczc】

e9990cd6-6e60-476c-bd37-1a524422a9a8

image

6、在PVE虚拟化平台中,用户“Lu2k”被授予了多少个虚拟机的使用权限?【答案格式:1】

4

看每个虚拟机的permission部分

7、在PVE虚拟化平台中,shell历史命令中最后一条命令为?【答案格式:hello world】

lxc-attach 110

history命令查看即可。

8、请分析嫌疑人最近一次销毁虚拟机的时间为

C

image

9、PVE虚拟化平台的openEuler系统镜像下载的开始时间为?

B

10、根据嫌犯供述,可通过快照启动PVE虚拟化平台中的云手机。请根据该条线索找到对应虚拟机,其快照的时间为

D

image

软路由部分

1、软路由root用户的密码是?【答题格式:abc123】

pve平台上唯一启动的虚拟机就是软路由。

https://192.168.71.100找到登录页面,火眼直接梭(需要预填电脑备忘录中的密码)

OP2024fic

image

2、软路由管理面板所用http协议监听的端口为?【答案格式:7001】

8080

netstat看一眼

3、软路由的系统版本号为?【答案格式:1.1.1】

23.05.2

页面右下角

4、软路由的WAN口所配置的网关为?【答案格式:1.1.1.1】

192.168.71.2

5、软路由防火墙端口转发规则有多少条记录【答案格式:1】

17

image

6、OpenClash控制面板登录密钥为?【答案格式:Abc123】

MCoYZFwg

7、OpenClash的局域网代理密码(SOCKS5/HTTP认证信息)为?【答题格式:Abc123】

WAMqotI9

openclash-覆写设置,最下方。

8、OpenClash的订阅地址为?【答案格式:https://www.forensix.cn】

https://www.amrth.cloud/s/FnT83dutLWlF5via?clash=2

9 、代理节点“香港501 中继 动态”的服务端口为?【答案格式:123】

42001

配置管理中看配置文件。

10、OpenWrt的包管理软件的系统镜像源配置文件的绝对路径是?【答案格式:/root/hl/abc.conf】

/etc/opkg/distfeeds.conf

image

云手机部分

1、PVE虚拟化平台的虚拟机“101(node1)”的droid用户登录密码为?【答案格式:Abc123】

droid2024fic,同上面题。

2、PVE虚拟化平台的虚拟机“101(node1)”中Docker容器的镜像ID的前六位为?【答案格式:abc123】

直接在虚拟机中是无法查看docker images的,需要su提权(看历史命令判断)

sudo su

d1d4bf

火眼可以直接看到

3、在PVE虚拟化平台的node1虚拟机中,容器手机的数量为?【答案格式:1】

5

docker ps -a

火眼依旧可以直接看。

4、在PVE虚拟化平台的node1虚拟机中,若要启动手机容器,有几条前置命令(docker命令不纳入计算)? 【答案格式:1】

2

算是误打误撞出的吧,

image

直接看虚拟机的备注算是正解,里面给出了其手机的方法。

5、在PVE虚拟化平台的“101(node1)”虚拟机中启动“priceless_knuth”手机容器后,该安卓手机的蓝牙MAC地址是多少?【答案格式:12:34🆎cd:a1:b2】

对101的镜像再来一次安卓分析

就直接可以梭到了。

3c:5a:b4:01:02:03

6、警方现场勘验过程中,曾使用雷电手机取证软件通过嫌疑人软路由对云手机进行了远程取证,请问以下哪个端口可以明确是取证时使用过的端口?【多选题】

在node2,中发现雷电快取app,因此在软路由中找和node2相关的端口。

DE

image

7、在PVE虚拟化平台的node2中名为loving_shtern的手机映射至软路由中,所占用的端口号为?【答案格式:123】

25555

看该docker对应的配置文件,端口号为5555,再从软路由中找到对应端口。

image

8、在PVE虚拟化平台的node2中loving_shtern手机容器中安装的名为“抖音”安装包的MD5值为?【答案格式:abc123】

0ce8f95ba0401769a9f4860749cc8206

应该是要去docker去找apk计算,火眼中能够找到3个抖音的apk,侥幸这三个apk的md5值都是一样的。

9、根据集群中手机内容分析,传销人员在评论区引流使用的qq号为?【答案格式:123】

3791621185

在node1的检材中分析,可以知道李哥应该是引流的。

10、通过云手机聊天记录可以得知,涉案传销网站域名为?【答案格式:www.forensix.cn】

shop.jshcloud.cn

同上题,在聊天记录中可以得到。

传销网站部分

分析时可以发现火眼无法识别出112镜像,这是由于打PVE镜像的时候sqlserver是一直启动的,磁盘也是变化的,因此需要重新仿真PVE,仿真时不开嵌套虚拟化来保证虚拟机是关闭的,然后导出磁盘镜像进行分析。

1、涉案服务器集群中,sql数据库服务器112(sqlserver)对应的虚拟磁盘的SHA256值为?

/mnt/pve/local2/images下得到镜像

0a7d9f77a5903bece9290f364b410a233a8415dabb35bc1ef585d837681d44e3

这里应该是我的问题,远程导出的镜像sha256值错了,直接算文件对的。。

2、涉案服务器集群中,数据库服务器的root用户密码加密方式为?

看shadow文件。

A

3、涉案服务器集群中,数据库服务器的内核版本?【答案格式:1.1.1】

5.10.0

4、涉案服务器集群中,Java服务器web服务监听的端口为?【多选题】

BC

我一开始思路是想进入去查看的,但是不会绕密。于是按照别人的思路去看历史命令,看jar包的配置文件。

image

5、涉案服务器集群中,数据库服务器中Docker容器的数量为?【答案格式:1】

2

6、 涉案服务器集群中,数据库服务器有一个mysql容器节点,该容器的ID前六位为?【答案格式:abc123】

3ba5cb

7、涉案服务器集群中,数据库服务器mysql容器节点的数据库版本号为?【答案格式:1.1.1】

5.7.44

看配置文件

8、从外部访问涉案网站“鲸易元MALL管理系统”管理后台所使用的域名为?【多选】

BD

从NGINX虚拟机看配置文件。/etc/nginx/conf.d/proxy.conf文件中得到。

注意是管理后台的域名。

进入nginx,使用lxc-attach 110(PVE第7题)进入内部。

9、“鲸易元MALL管理系统”管理后台所使用的网站框架为?

B

看后台源码容易判断。

10、“鲸易元MALL管理系统”管理后台运行时,依赖了几种不同的数据库?【答案格式:123】

2

redis和mysql,看 配置文件。

11、“鲸易元MALL管理系统”管理后台运行时,在生产环境(prod)下所连接的mysql服务器密码为?【答案格式:123】

honglian7001

application-prod.yml

12、“鲸易元MALL管理系统”管理后台中Aliyun OSS对应的密钥KEY是为?【答案格式:Abc123】

LfA2sPaJiVW3Th32YeCN0bsD8NIjF7

application.yml

13、“鲸易元MALL管理系统”管理后台中,管理员(admin)的账号密码采用了什么样的加密方式?【答案格式:rc4】(不区分大小写)

Bcrypt

看sys_user表

image

14、“鲸易元MALL管理系统”管理后台中,管理员(admin)账号绑定的手机号码为?【答案格式:18818881888】

15888888888

15、“鲸易元MALL管理系统”管理后台中,会员的数量为?【答案格式:123】

下面的题目应该都是要重构网站了。

对111和112进行仿真绕密。配置另外一张网卡192.168.100.0

将java,sql都配置到同一网段,对PVE添加这张网卡。让vmbr1从属于ens36这张新添加的网卡。重启 。

image

(或者使用软路由的端口转发来连接。2024fic决赛服务器部分复现wp_fic决赛wp-CSDN博客

sqlserver服务器配置网络/etc/sysconfig/network-scripts/ifcfg-enp6s18

image

改name和device为ens33,重启networkmanager服务即可。systemctl restart NetworkManager这时候再看就有静态ip了。

javaserver服务器配置网络/etc/netplan/00-installer-config.yaml

改为enp2s1(ens33的altname)即可。

image

netplan apply即可有ip。

这时候应该就可以ssh连接了。

image

参考历史命令将sqlserver中的两个docker启动

docker start 3ba5
docker start a2aa

同理在javaserver中启动两个jar包(目前我api的jar包无法启动,可能重构的并不完整)。

根据jar包的配置,mysql的端口在13306,root,honglian7001

navicat可以直接直连,替换sys_user表中admin用户的密码为123456。

修改本机hosts文件

image

成功登录后台页面。

52908

image

数据分析部分

16、“鲸易元MALL管理系统”管理后台中,会员级别为“总代”的数量为?【答案格式:123】

248

17、“鲸易元MALL管理系统”管理后台中,以“推荐人id”做为上级id对会员进行层级分析,总层级为多少层?(最高层级视为1层)【答案格式:123】

53

将会员表导入到网矩中,分析出来其实是54层,但是第1层是空的。

18、“鲸易元MALL管理系统”管理后台中,会员编号为sgl01的下游人数(伞下会员)数量为?【答案格式:123】

18001

19、“鲸易元MALL管理系统”管理后台中,会员编号为sgl01的下游人数(伞下会员)充值总金额合计为多少元/RMB【答案格式:123】

数据库中member_money_total表中recharge_sum_money是充值总金额。

membermember_money_total两个表一起分析

8704119

image

根据实际,数据库中的单位应当是分。

20、“鲸易元MALL管理系统”管理后台中,已支付订单的数量为?【答案格式:123】

在订单管理页面,拉大时间

31760

image

21、“鲸易元MALL管理系统”管理后台中,已支付订单的支付总金额总计为多少元/RMB?【答案格式:123】

71979976

将上一题的数据导出求和即可。

22、“鲸易元MALL管理系统”管理后台中,在提现账号管理页面中银行卡的记录数为?【答案格式:123】

提现账号6701

23、“鲸易元MALL管理系统”管理后台中,打款成功的提现记录数量为?【答案格式:123】

8403

同理,把搜索时间拉大一点。

image

24、“鲸易元MALL管理系统”管理后台中,打款成功的提现应打款金额总计为多少元/RMB?【答案格式:123】

10067655

同理,导出求和。

posted @ 2025-04-10 20:17  场-room  阅读(188)  评论(0)    收藏  举报