0


2024年弘连网络FIC大会竞赛题线下决赛题

总结: FIC决赛的时候,很多小问题没发现,在pve平台做题确实很方便。

这套题目复盘完,服务器这块的知识确实收获了很多,对pve集群平台和网络拓扑也有了一定的认识,感谢各位大佬悉心指导。

接下来,我的博客停更半年,好好准备考试了。

参考文章:

https://mp.weixin.qq.com/s?__biz=Mzk0MTQzNjIyNg==&mid=2247491724&idx=1&sn=f742abe5729e1298e54593a377b24abd&chksm=c2d0dca1f5a755b71562fbb582b353c829f630c95f49b8789e7adf71576fe5089d7898858d91&scene=178&cur_album_id=2750321071282929668#rd

案件背景:

2023年3月15日凌晨,受害人短视频平台上看到一段近期火爆的交通事故视频,留言后有人通过私信联系,称有一个赚大钱的机

会,该人自称李某,提议让他到他们平台充值做代理;最终受害人发现自己被卷入了一个复杂的网络传销犯罪活动中,从而报案。

经过一段时间的侦查,2023年3月25日,警方最终锁定了"lalala李"网络水军团伙的技术人员卢某,一举拿下了卢某的住所;当天

上午,警方开始对卢某某的个人计算机进行现场勘验。在管理工具历史记录中,发现了大量访问某个PVE云服务器控制台的记录。初步判

断该云服务器可能为该团伙网络引流的主要平台。

经过进一步追查,警方发现该PVE云服务器租用于某知名云服务商,服务器上运行着数个不同的虚拟机实例;平台通过虚拟软件模

拟多部手机,利用网络水军的力量在各大平台发布伪造的图片传播负面新闻,引流受害者加入平台。

在深入分析虚拟机镜像后,警方终于发现这些虚拟机背后运行着一个复杂的网络传销平台!最终,警方展开了一场声势浩大的收

网行动,成功捣毁了该犯罪团伙。案件中的主要成员李安弘、卢某某等人均被依法逮捕。

接下来,我们将深入分析关键证据镜像文件,揭开这个庞大网络传销窝点的犯罪事实。

检材情况:

1、卢某个人计算机—PersonalPC.E01, MD5:6ee6056aaf226c019426c468c0d3bc7b

2、PVE服务器调证镜像1—sys.E01, MD5:31eaaa81bac66fefaa2ea1782c5c047b

3、PVE服务器调证镜像2—data.E01, MD5:9c8086f0763e46b28ff4e5924fe3245d

vc容器挂载密码:

2024Fic~Competition~Finals@杭州&Powered~By~HL!

网络拓扑:

img

计算机介质部分:请分析某个人计算机PersonalPC.E01并回答下列问题

1.请分析卢某的计算机,并计算原始检材的SHA256值。

img

2024FIC计算的SHA256

484117F3002E5B876C81DD786F899A439514BB0621D62D58F731E5B344DB3634
2.嫌疑人回收站中的"备忘录.txt"文件SHA1 值为?

img

找到回收站的文件计算SHA1

img

对源文件进行计算SHA1

FDED9342533D92FA46FC4AABD113765A7A352CEB

3.嫌疑人使用ssh连接工具,该工具的名称为?【答案格式:fic123】

img

从回收站还原出文件,可以看到mobaxterm的密码,放到火眼证据分析里面

img

火眼可以直接分析看出来

img

或者可以登录上mobaxterm

看界面就知道是ssh连接工具了

mobaxterm
4.嫌疑人使用ssh连接工具,其中连接名为node的连接记录,连接的端口为?【答案格式:123】
img界面可以看到192.168.71.100是连接名为node的,用户名为droidimg
122
5.在2024-03-12 17:13左右,嫌疑人计算机最少连接了__台安卓虚拟机。【答案格式:1】

img

右下角时间显示17时12分,可以看到同时开了五部安卓虚拟机

5
6.软件“QtScrcpy”的配置文件显示,嫌疑人配置了__台安卓虚拟机(以连接端口计数)。【答案格式:123】

img

C:\Users\Luck\Documents\QtScrcpy-win-x64-v2.2.0\config\userdata.ini文件

img

这后面的应该是端口号

img

%3A是 : 的url编码

img

15
7.嫌疑人桌面文件"老婆.png"的SHA256哈希值为?【答案格式:abc123】

img

找到图片

计算SHA256

img

02139BF305630CEFFADD6926C202BAE655C79D25A64F5C7A1C62BC4C91C9CCF1
8.嫌疑人把xls文件藏入老婆.png中,该xls的密码为?【答案格式:Abc123】

xls文件头为D0CF11E0,可以把文件用010 editor进行分离出来

img

foremost -T 老婆.png

对老婆.png文件进行分离

img

把output文件夹复制出来,对ole后缀文件改为xls

img

img

根据备忘录提示,对密码进行爆破

img

img

用passware kit爆破,相对来说设置比较方便,但是爆破时间比较长

img

P1ssw0rd
9.嫌疑人桌面"2024年3月13日星期三 日报.docx"文档密码为?【答案格式:Abc123】

img

passware kit 爆破设置

img

密码为P1ssw1rd

P1ssw1rd
10.嫌疑人使用的AI软件名称为?【答案格式:abc-df-abc】

img

可以看到最近访问的项目

里面有这个stable-diffusion-webui,是网上比较有名的AI软件了

stable-diffusion-webui
11.嫌疑人使用的AI软件监听端口为?【答案格式:1】

img

直接找浏览记录

7860
12.AI软件安装目录下的“2024-03-13”目录,其中由AI生成的图片有多少张?【答案格式:1】

img

txt2img-grids和txt2img-images,这两个都是AI模型生成的输出目录

C:\Users\Luck\AppData\Local\stable-diffusion-webui\output\txt2img-grids\2024-03-13

这个目录下一共是4张图片,以png,jpg两种格式用网格排版展示了40张图片

img

C:\Users\Luck\AppData\Local\stable-diffusion-webui\output\txt2img-images\2024-03-13

一共是41张图片,和上面的进行比较发现第一张图片是混淆进去的

img

41
13.嫌疑人使用Ai软件生成燃烧的汽车图片使用的模型SHA256哈希值为?

题目问的是燃烧的汽车图片使用的模型

在png的IHDR的信息中有model信息

img

去model文件夹下面找对应的模型

img

22E8515AA5985B776AFC1E48647F23F5651A317D2497A91232D03A1C4FEEAE2C
14.嫌疑人使用Ai软件生成燃烧的汽车图片(00036-957419862.png)使用的正向提示词,包含哪些?

A.china

B.high way

C.fast speed

D.car on fire

E.no people

img

查看文件的十六进制文件,里面有IHDR信息

ABD
15.嫌疑人桌面文件"老婆.png"的图像生成种子是__。【答案格式:123】

img

3719279995

PVE虚拟化平台部分:请重构虚拟化平台并回答下列问题

1.PVE虚拟化平台版本号为?【答案格式:1.1.1】

img

打开web界面就能看到

8.1.4
2.PVE虚拟化平台的web管理地址为?【答案格式:192.168.1.1:22】

img

VMnet1仅主机网卡和VMnet8 NAT模式两张网卡的IP网段像这样修改

img

启动打开

img

可以直接看到web管理地址

192.168.71.133:8006

img

这样输入会有两个问题,一个是http协议,另一个是端口号没加

img

进入到web管理页面了

username:root

password:123456

img

3.在PVE虚拟化平台中,当前共有多少个虚拟机?【答案格式:1】

img

img

调个中文简体

img

调下文件夹视图

img

7
4.PVE虚拟化平台的“vmbr1”网卡所使用的网段为?【答案格式:192.168.1.0/11】
vi /etc/network/interfaces

img

192.168.100.0/24
5.PVE虚拟化平台中”120(Luck)”虚拟机的smbios uuid为?【答案格式:123abc-123ba-123ad-23ab-12345abczc】

img

在网页上找找找

img

直接复制不了,去控制台复制

uuid=e9990cd6-6e60-476c-bd37-1a524422a9a8

e9990cd6-6e60-476c-bd37-1a524422a9a8
6.在PVE虚拟化平台中,用户“Lu2k”被授予了多少个虚拟机的使用权限?【答案格式:1】

img

node1

img

node2

img

node3

img

luck

一共是四台虚拟机

4
7.在PVE虚拟化平台中,shell历史命令中最后一条命令为?【答案格式:hello world】

img

lxc-attach 110
8.请分析嫌疑人最近一次销毁虚拟机的时间为

A.2024-03-13 10:34:20

B.2024-03-22 18:06:15

C.2024-03-22 18:15:17

D.2024-03-22 18:20:55

img

查看pve节点的日志

C
9.PVE虚拟化平台的openEuler系统镜像下载的开始时间为?

A.2024-03-12 12:03:12

B.2024-03-12 12:04:19

C.2024-03-12 12:10:09

D.2024-03-12 12:11:02

img

根据选项时间去找3月12日的日志进行查看

B
10.根据嫌犯供述,可通过快照启动PVE虚拟化平台中的云手机。请根据该条线索找到对应虚拟机,其快照的时间

A.2024-03-12 11:02:32

B.2024-03-12 11:24:11

C.2024-03-13 10:34:20

D.2024-03-13 9:43:23

img

D

软路由部分:请重构软路由环境,并回答下列问题

img

8u16g,记得开启虚拟化才能在虚拟机里面开虚拟机

img

1 软路由root用户的密码是?【答题格式:abc123】

火眼分析的时候,会有一个问你要密码的,把备忘录密码放进去。

img

img

从终端可以看到IP

192.168.71.100

那密码就是OP2024fic

OP2024fic
2 软路由管理面板所用http协议监听的端口为?【答案格式:7001】
netstat -lntp

img

看一看uhttpd就是http服务,看到监听端口是8080,上去访问

8080
3 软路由的系统版本号为?【答案格式:1.1.1】

img

刚启动就有

23.05.2
4 软路由的WAN口所配置的网关为?【答案格式:1.1.1.1】

img

密码是OP2024fic

img

找到WAN口

img

192.168.71.2
5 软路由防火墙端口转发规则有多少条记录【答案格式:1】

img

数一下

17
6 OpenClash控制面板登录密钥为?【答案格式:Abc123】

img

MCoYZFwg
7 OpenClash的局域网代理密码(SOCKS5/HTTP认证信息)为?【答题格式:Abc123】

img

img

WAMqotI9
8 OpenClash的订阅地址为?【答案格式:https://www.forensix.cn】

img

https://www.amrth.cloud/s/FnT83dutLWlF5via?clash=2
9 代理节点"香港501 中继 动态"的服务端口为?【答案格式:123】

img

img

42001
10 OpenWrt的包管理软件的系统镜像源配置文件的绝对路径是?【答案格式:/root/hl/abc.conf】

img

img

查看镜像源地址配置文件

/etc/opkg/distfeeds.conf

云手机部分:请还原云手机环境,并回答下列问题

这个是云手机连接的工具

计算机第5,6题也是一个提示

img

根据最近访问的项目,可以看到这个

img

这个就是云手机的连接工具了

然后根据软路由的转发规则

img

wan口的IP与openwrt的IP一致,为192.168.71.100

所以说可以通过外网192.168.71.100:122----->192.168.100.101:22内网

img

img

连接成功

img

img

img

猜测node1 node2 node3都有云手机

1.PVE虚拟化平台的虚拟机"101(node1)"的droid用户登录密码为?【答案格式:Abc123】

img

虽然用户droid的密码并不是对应的192.168.71.101的密码,但是可以发现droid密码都是一样,猜测为droid2024fic

img

成功进入

droid2024fic
2.PVE虚拟化平台的虚拟机"101(node1)"中Docker容器的镜像ID的前六位为?【答案格式:abc123】

img

img

起节点手机
modprobe binder_linux devices="binder,hwbinder,vndbinder"
modprobe ashmem_linux

docker start all

使用备注的提示命令

sudo su使用的密码就是droid2024fic

img

img

要获取Docker镜像列表中的ID,你可以使用以下命令:

docker images --no-trunc

img

d1d4bf2e59bbcb3e6d903d14ffa0bdafa100a037fdd45e9e7796778d9ff462c0
3.在PVE虚拟化平台的node1虚拟机中,容器手机的数量为?【答案格式:1】

img

5
4.在PVE虚拟化平台的node1虚拟机中,若要启动手机容器,有几条前置命令(docker命令不纳入计算)? 【答案格
式:1】

img

2
5.在PVE虚拟化平台的"101(node1)"虚拟机中启动“priceless_knuth”手机容器后,该安卓手机的蓝牙MAC地址是多
少?【答案格式:12:34🆎cd:a1:b2】
docker inspect 380
并没有发现“priceless_knuth”手机容器的蓝牙MAC地址
docker start 380

启动这个docker容器

img

根据docker信息

img

img

再根据openwrt的端口转发规则可知

img

172.17.0.3:5555--->192.168.100.101:1111--->192.168.71.100:11111

这个是完整的端口转发的关系

img

无线连接,启动服务就好了

img

通知栏下拉有设置

img

选择About phone

img

3c:5a:b4:01:02:03
6.警方现场勘验过程中,曾使用雷电手机取证软件通过嫌疑人软路由对云手机进行了远程取证,请问以下哪个端
口可以明确是取证时使用过的端口?【多选题】

A.11111

B.12222

C.13333

D.23333

E.24444

F.35555

img

发现node2里面有弘连取证工具

img

结合端口转发规则

DE
7.在PVE虚拟化平台的node2中名为loving_shtern的手机映射至软路由中,所占用的端口号为?【答案格式:123】

img

node2直接打开是有问题的

102是有快照的,回滚快照

img

img

回滚快照有报错,打开点不动

img

不过这题直接看上面的历史命令

img

25555

这个问题解决,从pve终端重启

我web界面一直没有成功

img

img

img

username:droid

password:droid2024fic

8.在PVE虚拟化平台的node2中loving_shtern手机容器中安装的名为“抖音”安装包的MD5值为?【答案格
式:abc123】

img

注意千万别用node1中的抖音apk计算,不是一个版本

img

看下ip和22端口是否开放

img

自己添加规则,去ssh连接node2

img

一定要点应用

img

ssh连接node2的配置

img

docker start $(docker ps -a -q)

一次性启动所有容器

使用droid的管理员权限

img

img

同样的启动,然后用软件连接

img

docker inspect 451

img

172.17.0.2:5555--->192.168.100.102:5555--->192.168.71.100:25555
这里可以使用adb连接,去找抖音的apk,copy下来之后计算md5

img

我这里使用进入docker镜像的方法

img

先进入/data/app/~~W_BhWcXqxofFWnwmFrhZvg==/com.ss.android.ugc.aweme-V_GSezKj2egAP31oX7Iazw==下面找到了base.apk

docker cp 451a0978d664:/data/app/~~W_BhWcXqxofFWnwmFrhZvg==/com.ss.android.ugc.aweme-V_GSezKj2egAP31oX7Iazw==/base.apk .

img

img

copy下来apk再download到主机,可以用雷电进行分析,看下没下载错

img

0ce8f95ba0401769a9f4860749cc8206
9.根据集群中手机内容分析,传销人员在评论区引流使用的qq号为?【答案格式:123】

img

使用安卓分析策略分析node1

img

3791621185
10.通过云手机聊天记录可以得知,涉案传销网站域名为?【答案格式:www.forensix.cn】

查看聊天记录就好了

img

shop.jshcloud.cn

传销网站部分:请重构网站结构,并回答下列问题

1.涉案服务器集群中,sql数据库服务器112(sqlserver)对应的虚拟磁盘的SHA256值为?

img

112没有被识别成嵌套证据,直接挂载分析也会报错

原因是当时打pve镜像的时候,112处于开机状态,直接pve开机也会导致112的磁盘发生变化

所以要重新开一个没有嵌套虚拟化的pve,然后把112copy下来计算

img

img

网络配置记得使用NAT模式

img

进web之后,发现112没有自动启动

img

查看/mnt/pve/local2/dump/images/112,然后下载112进行计算

0a7d9f77a5903bece9290f364b410a233a8415dabb35bc1ef585d837681d44e3
2.涉案服务器集群中,数据库服务器的root用户密码加密方式为?

A.SM3

B.SHA256

C.MD5

D.Bcrypt

查看这个文件vm-112-disk-0.qcow2/分区7/etc/shadow

img

     s 
    
   
     m 
    
   
     3 
    
   
  
    sm3 
   
  
sm3加密方式
A
3.涉案服务器集群中,数据库服务器的内核版本?【答案格式:1.1.1】

img

5.10.0
4.涉案服务器集群中,Java服务器web服务监听的端口为?【多选题】

A.9030

B.9031

C.9032

D.9033

img

把111检材挂载上去分析

网站要启动,肯定要启动前后端,查看历史命令

img

看来是个java网站,去找找看jar包位置

img

对jinyi.web.web.jar进行逆向分析

img

对jinyi.api.api-1.0.0.jar进行逆向分析

img

jinyi.web.web.jar占用9032端口,jinyi.api.api-1.0.0.jar占用9031端口

BC
img
5.涉案服务器集群中,数据库服务器中Docker容器的数量为?【答案格式:1】

img

2
6.涉案服务器集群中,数据库服务器有一个mysql容器节点,该容器的ID前六位为?【答案格式:abc123】

img

3ba5cb
7.涉案服务器集群中,数据库服务器mysql容器节点的数据库版本号为?【答案格式:1.1.1】

img

5.7.44
8.从外部访问涉案网站"鲸易元MALL管理系统"管理后台所使用的域名为?【多选】

A.jy.proxy2.jshcloud.cn

B.master.jy.proxy2.jshcloud.cn

C.jy.proxy.jshcloud.cn

D.master.jy.proxy.jshcloud.cn

找到/mnt/pve/local2/images/110目录,下载vm-110-disk-0.raw,放到火眼进行分析

查看配置文件, vm-110-disk-0.raw/分区1/etc/nginx/nginx.conf

img

可以看到host配置再这个文件下

vm-110-disk-0.raw/分区1/etc/nginx/conf.d/proxy.conf

img

BD
9.“鲸易元MALL管理系统”管理后台所使用的网站框架为?

A.TOMCAT

B.SPRING_BOOT

C.Struts

D.THINKPHP

img

B
10.“鲸易元MALL管理系统”管理后台运行时,依赖了几种不同的数据库?【答案格式:123】

img

mysql和redis

2
11.“鲸易元MALL管理系统”管理后台运行时,在生产环境(prod)下所连接的mysql服务器密码为?【答案格式:123】

img

Druid是一个高性能的实时分析数据库(column-oriented database),它专为快速的 OLAP(在线分析处理)查询而设计。Druid 能够快速处理大规模数据集,并且支持实时数据摄入,使其非常适合用于数据仓库和实时分析。

Druid是做数据库分析的

honglian7001
12.“鲸易元MALL管理系统”管理后台中Aliyun OSS对应的密钥KEY是为?【答案格式:Abc123】

img

LfA2sPaJiVW3Th32YeCN0bsD8NIjF7
13."鲸易元MALL管理系统"管理后台中,管理员(admin)的账号密码采用了什么样的加密方式?【答案格式:rc4
】(不区分大小写)

img

img

Java服务器和数据库服务器不知道密码,可以绕密,但是挺麻烦的,sqlserver绕密好像不行,我们将这两个文件拖出来做

现在开始配置网卡

img

仅主机模式的dhcp设置也要配置,不然ipVmnet8网卡分配不到

img

img

img

111网卡

img

没有配置网卡

vi /etc/netplan/00-installer-config.yaml

配置网卡

img

img

重新应用网卡,就有了

img

修改112

img

vi /etc/sysconfig/network-scripts/ifcfg-enp6s18

img

systemctl restart NetworkManager

img

连接112MySQL

img

数据库在docker里面,启动

img

密码是honglian7001

img

     2 
    
   
     a 
    
   
  
    2a 
   
  
2a是Bcrypt加密特征
Bcrypt
14.“鲸易元MALL管理系统”管理后台中,管理员(admin)账号绑定的手机号码为?【答案格式:18818881888】

img

15888888888
15.“鲸易元MALL管理系统”管理后台中,会员的数量为?【答案格式:123】

img

启动Java服务器的jar包命令

img

img

img

110是pve里面的,111和112我是拖出来的

img

连接到110ngnix服务器

img

img

有网卡了

但是现在110和111 112不能通信

img

配置好了再重启

img

修改本机hosts,将nginx配置文件中的server_name与容器的IP绑定

img

img

192.168.100.110 info.jy.proxy2.jshcloud.cn
192.168.100.110 info.jy.proxy.jshcloud.cn
192.168.100.110 info.jy.jshcloud.cn
192.168.100.110 master.jy.proxy2.jshcloud.cn
192.168.100.110 master.jy.proxy.jshcloud.cn
192.168.100.110 jy.proxy2.jshcloud.cn 
192.168.100.110 api.jy.proxy2.jshcloud.cn 
192.168.100.110 jy.proxy.jshcloud.cn 
192.168.100.110 api.jy.proxy.jshcloud.cn 
192.168.100.110 jy.jshcloud.cn 
192.168.100.110 api.jy.jshcloud.cn

img

生成123456的Bcrypt加密后的密码

替换掉数据库里面的

img

成功登录了

img

52908

数据分析部分:请重构数据库,并回答下列问题

16.“鲸易元MALL管理系统”管理后台中,会员级别为“总代”的数量为?【答案格式:123】

img

248
17 “鲸易元MALL管理系统”管理后台中,以“推荐人id”做为上级id对会员进行层级分析,总层级为多少层?(最高层级
视为1层)【答案格式:123】

使用网钜进行数据分析

53
18 “鲸易元MALL管理系统”管理后台中,会员编号为sgl01的下游人数(伞下会员)数量为?【答案格式:123】

使用网钜进行数据分析

18001
19 “鲸易元MALL管理系统”管理后台中,会员编号为sgl01的下游人数(伞下会员)充值总金额合计为多少元/RMB【答
案格式:123】

使用网钜进行数据分析

8704119
20 “鲸易元MALL管理系统”管理后台中,已支付订单的数量为?【答案格式:123】

img

img

31760
21 “鲸易元MALL管理系统”管理后台中,已支付订单的支付总金额总计为多少元/RMB?【答案格式:123】

导出上述表格

img

img

转换为数字,求和

img

71979976
22 “鲸易元MALL管理系统”管理后台中,在提现账号管理页面中银行卡的记录数为?【答案格式:123】

img

6701
23 “鲸易元MALL管理系统”管理后台中,打款成功的提现记录数量为?【答案格式:123】

img

img

8403
24 “鲸易元MALL管理系统”管理后台中,打款成功的提现应打款金额总计为多少元/RMB?【答案格式:123】

img

10067655
25 “鲸易元MALL管理系统”管理后台中,拼券活动D仓位的收益率为?【答案格式:100%】

img

8%
标签: 网络 php 数据库

本文转载自: https://blog.csdn.net/Tummyiii/article/details/139118207
版权归原作者 Tummyiii 所有, 如有侵权,请联系我们删除。

“2024年弘连网络FIC大会竞赛题线下决赛题”的评论:

还没有评论