獬豸杯(复现)

yolo 发布于 2025-02-26 62 次阅读

非常感谢孙老师给我找的火眼工具,这个工具的使用感觉真的很nice,很nice!!!

还是用文化木说的凶兽杯好记点,密码是这个:

}2N|n_yxdt!G/Ru}|_zdn$@?6@CD8E

这次复现主要用于对弘联火眼的使用做一个记录

计算机取证

1.网卡的Mac地址是多少?[标准格式:XX-XX-XX-XX-XX-XX]

直接挂载好后,在网络适配中查看物理连接的mac地址,得到00-0C-29-BF-8B-30

image-20250225191302042

2.系统内部版本号是多少?[标准格式:12345]

image-20250225191410067

答案是18363

3.计算机系统开机密码是多少?[标准格式:根据实际值填写]

这里随便找找,就找到了,在微软便签中有密码

image-20250225191804936

答案是WAXD9128@

4.分析计算机检材中手机流量包,请问黑客虚拟身份的密码是什么?[标准格式:x123]

一直纳闷我要找的流量包在哪里呢,因为一直没有找到常见的.pcap和.pcapng文件,后来上网研究了下,还有个常见的流量抓包的文件格式.saz,这个文件需要我使用工具fiddler查看

直接搜索password后,找到了密码a12345678

image-20250225204528654

5.分析计算机检材中手机流量包,请问黑客人员使用的夜神模拟器的手机型号是什么?[标准格式:XX-X123X]

还是分析那个流量包,显然这里的yeshen流量肯定来自于一个模拟器,所以随便点击一个就行

image-20250225211018971

答案是:SM-G955N

这里还能从证据分析中找

image-20250226191233057

6.分析计算机检材中手机流量包,请问黑客看视频的时间是几月份?[标准格式:1]

平时我们刷视频也就是抖音,b站了吧,分析了下流量后,得到了时间信息

image-20250225212213334

答案是:5

7.分析计算机检材中手机流量包,请问“天戮宇宙”出自哪个小说平台?[标准格式:番茄小说网]

搜book就ok,好多网文呢,找到这个照片

image-20250225213452754

答案是:起点中文网

8.请问在手机模拟器中勒索apk软件的sha256值是什么?[标准格式:全小写]

这里需要把那个模拟器的磁盘文件导出来,这个vmdk文件在这里找

image-20250226191127639

emm,发现这个其实并不是我想要的东西,上网搜搜后,发现像夜神模拟器这类的备份文件是npbk格式的,接下来我只要搜到这个备份文件就行

image-20250226200002734
image-20250226200028473

接下来啊,我们需要将后缀名改为zip,进行解压,就得到了我们可以进行分析的vmdk文件

重放火眼进行分析,这个嫌疑最大

image-20250226200648682

计算哈希,得到答案:340bd211955996c5d62bbde94a0bed4eb3a7965b23af52114991bca02346928e

image-20250226200726512

9.接上题,请问勒索apk软件的解锁密码是什么?[标准格式:qwer.com]

这里直接使用雷电只能分析,就能看到

image-20250226210135681

用jadx查到这里硬编码了一个密码

image-20250226210210191

答案是anzhuo.com

10.signed_xz.exe程序SHA1后6位是多少?[标准格式:524c62]

这里就和那个手机模拟器没有任何关系了,首先我们要先找到这个软件

image-20250226211031981

当初在Desktop中的时候,发现了mm文件,显示有个文件夹里面有容器密码,显然有个容器里面有我想要的东西

然后我发现有个大小很特别的文件1024MB的文件,当初C3师傅给我说到了一点,vc容器有个特点就是大小一定是4的倍数,可以尝试导出分析这个文件

image-20250226211618164

它的解密密码是个文件,就是前面照片里说的那个

解密后得到我要的软件

image-20250226212411130

将它扔到沙箱里测试,顺便就把SHA1算出来了,后六位结果是8955b1

image-20250226213035054

11.signed_xz.exe程序中的函数名为curl_version_info的函数地址是多少?[标准格式:0c6875c2]

按理来说,要使用IDA Pro将那个函数找到,但是这样做比较麻烦,我用微步云沙箱分析了,得到答案0x4393c0

image-20250226213933964

12.signed_xz.exe程序中节名为.reloc的虚拟地址是多少?[标准格式:0c526n5624]

用CFF一下就能找到

image-20250226214515953

答案是035B5000

13.请分析检材中澳门新葡京APK其包名是?[标准格式:com.abcd.xxx]

这里直接搜素名字,跳转就能看到

image-20250226214713721

答案是com.suijideszzuiji.cocosandroid

14.请分析检材中澳门新葡京APK是否加固,加固则说明是什么加固?[标准格式:360加固宝或未加固]

火眼好好用

image-20250226214917557

答案是未加固

15.请分析检材中澳门新葡京APK是否会往手机的SD卡中写入数据,则该权限的名称是?[标准格式:android.xx.xxx]

查看权限就知道了

image-20250226215235128

答案是:android.permission.WRITE_EXTERNAL_STORAGE

16.请分析检材中澳门新葡京APK登录的api地址。[标准格式:https://www.baidu.com/api/login]

这题得抓包,明天处理下

重复抓了好多次,最后总结经验,需要事先把这个app打开,点到登录的界面,然后再进行抓包,得到可疑api信息

image-20250227211358869

这里还有个另解,一般来说,这个api是以/login为结尾

image-20250227211931189

抓包的时候,经常遇到的是这些

上面截取的部分有点点不好,因为上面的信息准确来说不是我在注册登录版块抓到,总之意思就差不多,对比找到前面相近的部分,然后加上后缀就ok

答案是:http://c643eb1d5cddfdda.com/ky188/member/memberManager/login

17.请分析检材中澳门新葡京APK其中关于腾讯运营商的服务留存了QQ号是?[标准格式:123456790]

用逆向工具查找即可

image-20250226215549001

答案是1108221663

18.请分析Navicat中root用户的密码是什么?[标准格式:@123Aa]

image-20250227212213527

navicat是一个数据库,这里我们需要找到sql库

image-20250227212344797

答案是:(=3]Zwjt#W

手机取证

1.登录的直播APP的IDX是什么?[标准格式:25236541]

只找到这一个直播app

image-20250310190315403

然后研究了下,这里的idx应该在login中看,相关的db数据库也不多,一个一个看,找到了miao.db

image-20250310190152093
image-20250310190515202

答案是35248617

2.目前直播的等级名称是什么?[标准格式:碌碌无为]

这里的话,我选择将直播app注册登录好,然后搜问题1的idx号,看到嫌疑人的等级名称

image-20250310192815562

答案是:一无所有

这里说个题外话,毕竟是那种不良app,注册还得用手机号登录,显然不可以把我们自己的手机号注册登录,不然牵扯的问题太多,代价太大,在网上随便找几个可以接收验证码的在线手机号就行

尝试了几个后,感觉这个最好https://www.micsms.com/

最起码它的响应速度足够快

3.地图中哪座山有绝望坡?[标准格式:太行山]

上网搜搜,结果就那么几种,一个一个尝试也可以的

看答案的话,结果就是武功山

image-20250310194946665

当然,这里如果熟悉小米手机文件路径的话,也是可以查找出来的

image-20250310204020949

可以翻到这张照片

image-20250310204054159

3.手机的历史SIM卡中,中国电信卡的IMSI是多少?[标准格式:123456789]

image-20250310204131392

答案是:460115143563428

4.1月22日16:40的会议号是多少?[标准格式:xxx-xxx-xxx]

回到第二问,可以找到几个会议号的截图的

image-20250310204410339

答案是312-118-071

5.网易会议中个人会议号是多少?[标准格式:2523654199]

image-20250310204508904

答案是:2679823922

6.记账软件中一共记了几笔?[标准格式:9]

image-20250310204657313

答案:4

(奇怪,这几道题目好像只要找到截图位置就能解决,看网上的wp,需要把软件导出,然后覆盖data

7.谁给了机主100000?[标准格式:某某]

image-20250310204855107

答案:勇哥

考虑到时间成本,再加上这是我使用完全自动化工具火眼进行的复现,说实话,这部分题目顶多是说让我熟悉了火眼的使用,对我的取证方面的知识帮助不大,所以剩下的题目我选择放弃,就不做了,还有其他的知识点需要我去研究

这里放几个这个取证比赛的wp,有空稍微看看就行

https://www.cnblogs.com/N1T0ls/articles/18732941

https://blog.csdn.net/BJYBJ/article/details/145911515?sharetype=blogdetail&sharerId=145911515&sharerefer=PC&sharesource=BJYBJ&sharefrom=mp_from_link

其中第二条链接是服务器取证,说实话,服务器取证的知识点可以好好研究研究。