二一长安个人WP


二一长安个人WP


​ 1.请计算检材一Apk的SHA256值

2.该APK的应用包名为

3.该APK程序在封装服务商的应用唯一标识(APPID)为

4.该APK具备下列哪些危险权限(多选题):

A.读取短信 B.读取通讯录 C.读取精确位置 D.修改通讯录 E.修改短信

5.该APK发送回后台服务器的数据包含一下哪些内容(多选题):

A.手机通讯录 B.手机应用列表 C.手机号码 D.验证码 E.GPS定位信息

开下代理抓包,可以看到发了一个post请求然后看下body(用下URL解码):

data=18958283552123456vivo-V1916A=66|134 3245 2432=张三|135 5324 2091

可以看到传了手机用户的信息(典型钓鱼)。

6.该APK程序回传通讯录时,使用的http请求方式为()POST

7.APK回传地址的域名

看下返回请求,www.honglian7001.com(zip2解压码):

8.apiserver的值:

看下数据包的发送路线:http://www.honglian7001.com/api/uploads

9.分析该APK,发现该程序还具备获取短信回传到后台的功能,短信上传服务器接口地址为

看下反编译内容吧,先跳了~

10.经分析,发现该APK在运行过程中会在手机中产生一个数据库文件,该文件的文件名为

​ test.db

11.经分析,发现该APK在运行过程中会在手机中产生一个数据库文件,该数据库的初始密码为

如上,虽然是个MD5编码,但不要去解码:c74d97b01eae257e44aa9d5bade97baf


12.检材二的原始硬盘的SHA256值为:

用第七题的答案去解压一下,但是解压文件是个E01,压缩文件不要直接cmd去找答案!!!

13.查询涉案于案发时间段内登陆服务器的IP地址为

14.请对检材二进行分析,并回答该服务器在集群中承担的主要作用是()

反向代理

切换一下root账号看下history,可以看到进入 cd /opt/honglianjingsai/chronusNode/ 中去nodejs启动app.js

15.上一题中,提到的主要功能对应的服务监听的端口为:

80端口,进第一个提示文件下去看一下:

16.上一题中,提到的服务所使用的启动命令为:

盲猜是node.js,启动一下看下端口:

17.经分析,该服务对于请求来源IP的处理依据是:根据请求源IP地址的第()位进行判断

3位,去反向代理配置里看一下配置文件:

18.经分析,当判断条件小于50时,服务器会将该请求转发到IP为()的服务器上

192.168.110.111 看上表

19.请分析,该服务器转发的目标服务器一共有几台

3台 看上表

20.请分析,受害者通讯录被获取时,其设备的IP地址为

看一下log文件内容,查下案发时间附近的log,在比对一下受害者的IP地址的第三位(110),转发到第三位上。

21.请分析,受害者的通讯录被窃取之后,经由该服务器转发到了IP为()的服务器上

192.168.110.113


22.检材三的原始硬盘的SHA256值为:

解压出来有三个web.e01,嫌疑人走的应该是第三个服务器,挂载一下看一下SHA256

23.请分析第21题中,所指的服务器的开机密码为:

honglian7001(看PC的记录吧)

24.嫌疑人架设网站使用了宝塔面板,请问面板的登陆用户名为:

hl213

25.请分析用于重置宝塔面板密码的函数名为

set_panel_pwd

去 /www/server/panel下看一下配置tools.py

26.请分析宝塔面板登陆密码的加密方式所使用的哈希算法为 MD5加密

27.请分析宝塔面板对于其默认用户的密码一共执行了几次上题中的哈希算法 3

28.请分析当前宝塔面板密码加密过程中所使用的salt值为 (去bt.db文件里找一下~)

29.请分析该服务器,网站源代码所在的绝对路径为

www.honglian7001

看下bt更目录就行

30.请分析,网站所使用的数据库位于IP为()的服务器上

31.请分析,数据库的登陆密码为【区分大小写】

32.请尝试重构该网站,并指出,该网站的后台管理界面的入口为 /admin

33 —— 40 数据库重建不知为啥连不上BT不管了


39.请计算检材四-PC的原始硬盘的SHA256值

拉进火眼里去看下。

40.请分析,检材四-PC的Bitlocker加密分区的解密密钥为

511126-518936-161612-135234-698357-082929-144705-622578

火眼加载的时候就让你输入这一块的密钥但是还有部分盘是没有加密的里面去看一下:

41.请分析,检材四-PC的开机密码为

42.经分析发现,检材四-PC是嫌疑人用于管理服务器的设备,其主要通过哪个浏览器控制网站后

43.请计算PC检材中用户目录下的zip文件的sha256值

44.请分析检材四-phone,该手机的IMEI号为

45.请分析检材四-phone,嫌疑人和本案受害者是通过什么软件开始接触的

46.请分析检材四-phone,受害者下载恶意APK安装包的地址为

看下聊天记录就行。

47.请分析检材四-phone,受害者的微信内部ID号为

48.请分析检材四-phone,嫌疑人用于敲诈本案受害者的QQ账号为

49 —— 53

把43题的赚钱工具软件给导出来并且和之前重组的数据库给一起分析一下。


以上为复盘结果,不对的地方还请各位师傅斧正。


文章作者: Dydong
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Dydong !
  目录