事件の簡単な紹介
2023年9月、某公安機関の司令部は被害者から「インスタントメッセージングツールを通じて「周偉」という女性と知り合い、非常に楽しい会話を交わし、ネット上で交際を始め、その後、 、「周偉」は被害者と裸の会話をし、その過程全体が詐欺集団によって記録され、ビデオ撮影されていた。同時に、周謙容疑者は、「ファンを増やす」ために生放送を行っているという理由で、被害者に既製のトロイの木馬アプリをダウンロードするよう誘導し、被害者がアプリをインストールした後、容疑者は録画したビデオと被害者の住所を使用しました。本を出版して彼を脅し、計画を実行した。
警報を受けた公安庁は、トラフィックパケットの一部を技術的手段で捕捉し、公安庁の調査・分析により、詐欺グループの拠点を特定し、暴力団員らが詐欺グループに連絡したことがわかっている。 ETH通貨ディーラーは電報を通じてコインを収集し、両者はオンラインで取引時間と取引金額が決定され(取引金額は300万元)、通貨の売り手は最初に通貨の買い手のウォレットに0.5 ETHを転送します。両者は面会後、2回の取引で商品を引き渡すことで合意し、1回目は100万仮想通貨相当、2回目は200万仮想通貨相当とした。最初の 100 万コインは通貨売り手のアドレスから転送アドレス (仲介者が管理) に転送され、次に転送アドレスから通貨購入者が指定した通貨受け取りアドレスに転送されます。通貨の販売者に現金 10,000 が渡され、最初の取引が完了します。犯罪者が 2 回目の取引を開始したとき、その場で警察に阻止されました。関連容疑者が逮捕され、Android スマートフォン 1 台、ラップトップ 1 台、フォレンジック サーバー 2 台が押収され、上記の検査資料は別々にミラーリングされていました。検査材料一覧は添付ファイルをご覧ください。事件の状況に基づいて上記の検査資料を検査および分析し、以下の質問に回答してください。
目次
1. 関係する携帯電話のデバイス ID が _______ であることを分析してください。(標準フォーマット:12345678)
2. 容疑者による対象APPの最初のインストール時間が______であることを確認してください。(標準形式: 2023-09-13.11:32:23)
3. このテスト資料は合計 ______ 台の WiFi に接続されました。(標準フォーマット:1)
4. 容疑者の携帯電話のテキスト メッセージ記録には、未読のテキスト メッセージが ______ 件あります。(標準フォーマット:12)
5. 容疑者の携帯電話でポスターの背景画像をダウンロードできるウェブサイトは_______です。(標準形式: http://www.baidu.com/admin/index.html)
6. 関係する投稿者のプロモーション ID が _________ であることを分析してください。(標準フォーマット:123456)
7. 容疑者は大量のテキスト メッセージを通じて APP を宣伝しました。受信者の __ 番号が無効です。(標準フォーマット:12)
8. 分析の結果、容疑者がプッシュした WeChat アカウントは ______ です。(標準フォーマット:Lx20230916)
9. 容疑者が使用した「ボイスチェンジャー」APK のパッケージ名が ________ であることを確認してください。(標準形式:com.baidu.com)
10. 加盟店の連絡先登録アプリのIDは_______です。(標準フォーマット:12345678)
11. 容疑者は2022年11月に_______市にいた。(標準形式: 成都)
12. 容疑者は合計 _______ QQ アカウントを購入しました。(標準フォーマット:1)
1. 携帯電話の画像を分析し、関連する APK をエクスポートします。この APK の md5 値は ________ です。(標準フォーマット:abc123)
2. apk を分析します。apk のパッケージ名は ________ です。(標準形式:com.qqj.123)
3. APK を分析すると、アプリの内部バージョン番号は __________ です。(標準フォーマット:1.1)
4. APK を分析します。APK でサポートされている最も高い Android バージョンは _______ です。(標準フォーマット:11)
5. APK を分析します。アプリのメイン関数エントリは _________ です。(標準形式:com.qqj.123.MainActivity)
6. APK を分析し、テキスト メッセージを盗むための権限名が ________ であることを確認します。(標準形式:android.permission.NETWORK)
7. APP で使用される OPPO アプリキーの値は ________ です。(標準フォーマット:AB-12345678)
8. APK のソース コードを分析します。APK のバックグラウンド アドレスは ________ です。(標準形式:com.qqj.123)
9. APK ソース コードを分析すると、APP バックグラウンド アドレス ログインのソルト値は _______ です。(標準形式: 123abc=%$&)
10. APK ソース コードを分析すると、APK バックエンド アドレスのログイン パスワードは ______ です。(標準形式:longxin123)
11. APP インストール パッケージを分析します。APP パッケージ プラットフォームの検証値は ______ です。(標準フォーマット:HER45678)
12. このapkパケットをキャプチャして取得した、アクセス可能なWebサイトのドメイン名のIPアドレスは_______です。(標準フォーマット:192.168.1.1)
13. APK のソース コードを分析します。APK の暗号化キーの値は ________ です。(標準フォーマット:12345678)
14. コンピューターの画像と総合的な分析に基づいて、apk 開発会社の電話番号は __ です。(標準フォーマット:4001122334)
1. PC イメージ分析の場合、対象のコンピューターのパワーオン パスワードが _______ であることを確認してください。(標準フォーマット:123456)
2. この事件に関係したコンピュータが最後に正常にシャットダウンされたのは_______でした。(標準形式: 2023-1-11.11:11:11)
3. 事件に関係したコンピューターを分析したところ、2022 年 11 月 4 日にコンピューターの電源が合計 _________ 時間オンになっていたことが判明しました。(標準形式:1時間1分1秒)
4. PC イメージ分析の場合、WeChat が起動時に自動起動するプログラムであるかどうかを確認してください。(標準形式: はい/いいえ)
5. 検査資料のハードディスクには暗号化されたパーティションがあり、「My Secret.jpg」ファイルの復号化された内容が与えられます。(標準フォーマット:Longxin0924)
6. 前の質問に引き続き、容疑者の10月の給料はいくらですか? (標準フォーマット:123)
7. PC イメージを分析した後、ブラウザで QQ メールボックスを使用しました。このメールボックスのパスワードは ______ です。(標準フォーマット:Longxin0924)
8. 携帯電話の画像解析と組み合わせるとプロモーションIDが取得されますので、こちらの資料を検索してこのポスターを見つけ、パスを記載してください。(標準形式:D:\X\X\1.txt)
9. 容疑者の 2022 年の合計収入を見つけてください_______。(標準フォーマット:123)
10. このポスターを分析して、容疑者の銀行カード番号を見つけてください。(標準形式:62225123456321654)
4. 振込先住所振込記録に基づいて、買主の住所から振込金額を計算します。送金額: ____ ETH. (標準形式: 12.3)
1. 「packet 1.cap」を分析し、クライアントがサーバーにアクセスできない理由を調べます。(DoS攻撃)
2. 「Data Packet 1.cap」を分析し、問題のサーバーの IP アドレスが _________ であることを確認します。(形式:127.0.0.1)
3. 「Data Packet 1.cap」を解析すると、ファイル配信サーバーのIPアドレスが_______であることがわかります。(標準形式:127.0.0.1)
4. 攻撃者は「packet 1.cap」を分析し、_______ 脆弱性を利用してリモートでコードを実行します。(標準形式: 小文字、中国語不可)
5. 「Data Packet 1.cap」を分析し、悪意のあるファイルを抽出して、ファイルの MD5 値が _______ であることを確認してください。(標準形式:abcd)
6. 「データパッケージ 2.cap」を分析すると、ファイルを取得するパスは ________ です。(標準形式:D:/X/X/1.txt)
7. 「データパッケージ 2.cap」を解析し、ファイルダウンロードサーバーの認証アカウントのパスワードが_______であることを確認します。(標準フォーマット:123)
8. 「データ パッケージ 2.cap」を分析すると、ダウンロードされたファイルのサイズが ________ バイトであることがわかります。(標準フォーマット:123)
1.サーバー システムのバージョン番号は_______です。(形式:1.1.1111)
2. Web サイトのデータベースのバージョン番号は_______です。(形式:1.1.1111)
3. パゴダパネルの「タイムアウト」時間は_______分です。(形式:50)
4. Web サイトのソース コード バックアップ圧縮ファイルの SHA256 値は _________ です。(形式: 64 ビット小文字)
5. 配布 Web サイト sb.wiiudot.cn の管理者パスワードのデフォルトの MD5 暗号化ソルト値は _______ です。(形式:abcd)
6. 配布 Web サイト sb.wiiudot.cn には、合計 _______ 件のアドレス帳データが保存されています。(標準フォーマット:1234)
7. すべての Web サイトに _______ 人の被害者がいます。(形式: xxx。重複排除なし、データ回復なし)
8. 配布 Web サイト tf.chongwuxiaoyouxi.com には、_______ 人の「メンバー レベル」管理者がいます。(形式: 数値)
9. 配信サイト sb.wiiudot.cn の管理者が名付けた「0820」という招待コードは_______です。(形式:xxx)
10. 配布 Web サイト sb.wiiudot.cn のローカル データベース ユーザー sb_wiiudot_cn のパスワードは _______ です。(形式:xxx)
1. Pagoda パネルのデフォルトの Web サイト作成ディレクトリが _________ であることを分析してください。(標準形式:/etc/www)
3. 「Lexiang Finance」Web サイトにバインドされているドメイン名が _______ であることを分析してください。(標準形式: www.baidu.com)
6. 「Enjoy Finance」に外国為替以外の商品が合計 _______ 件追加されたことを分析してください。(標準フォーマット:5)
7. 「Enjoy Finance」設定を分析して、TEDA の通貨アドレスをリチャージしてください。(標準フォーマット:EDFGF97B46234FDADSDF0270CB3E)
8. 「楽祥金融」のリチャージ額が582,402元を超える被害者の総リチャージ額は_______であると分析してください。(標準フォーマット:12345678)
9. 「Lexiang Finance」銀行カード番号「6239039472846284913」にバインドされているユーザー名が_______であることを分析してください。(標準フォーマット:張三)
モバイル端末フォレンジック
1. 関係する携帯電話のデバイス ID が _______ であることを分析してください。(標準フォーマット:12345678)
85069625 
2. 容疑者による対象APPの最初のインストール時間が______であることを確認してください。(標準形式: 2023-09-13.11:32:23)
2022-11-16.19:11:26まずチャット履歴でこのアプリを見つけます
時間を見つける
3. このテスト資料は合計 ______ 台の WiFi に接続されました。(標準フォーマット:1)
6 Wi-Fi レコードを検索する
4. 容疑者の携帯電話のテキスト メッセージ記録には、未読のテキスト メッセージが ______ 件あります。(標準フォーマット:12)
17 直接見てもわかりませんので、画像ファイルを解凍してmmssms.dbを見つけてください。
SMS テーブルを確認してください。read=0 は未読を意味します
5. 容疑者の携帯電話でポスターの背景画像をダウンロードできるウェブサイトは_______です。(標準形式: http://www.baidu.com/admin/index.html)
http://m.ziyuanhu.com/pics/1725.html
ウェブサイトの記録で発見
6. 関係する投稿者のプロモーション ID が _________ であることを分析してください。(標準フォーマット:123456)
114092 画像内のプロモーション ID を見つけてください
7. 容疑者は大量のテキスト メッセージを通じて APP を宣伝しました。受信者の __ 番号が無効です。(標準フォーマット:12)
1 テキストメッセージでこのメッセージを見ました
8. 分析の結果、容疑者がプッシュした WeChat アカウントは ______ です。(標準フォーマット:Lx20230916)
Gq20221101
チャット履歴を探す
9. 容疑者が使用した「ボイスチェンジャー」APK のパッケージ名が ________ であることを確認してください。(標準形式:com.baidu.com)
com.chuci.voice 魔法のボイスチェンジャーを見つけよう
10. 加盟店の連絡先登録アプリのIDは_______です。(標準フォーマット:12345678)
36991915 連絡先を探す
11. 容疑者は2022年11月に_______市にいた。(標準形式: 成都)
苏州私がこの質問を上海で見つけたのは、上海にあることを示すテキスト メッセージを見たからです。
ゲームをプレイした後、浙江省に来たような気がしましたが、どこにあるのかよくわからず、WPを見て初めて蘇州にいると知りました。。
画像の位置情報を表示する
【経度緯度照会】オンライン地図経度緯度照会 | 経度緯度地名座標変換
この Web サイトを使用して経度と緯度をクエリすると、場所は蘇州になります。
12. 容疑者は合計 _______ QQ アカウントを購入しました。(標準フォーマット:1)
8 チャット履歴を確認すると今回は5件、前回は3件の計8件ありました
APKフォレンジック
1. 携帯電話の画像を分析し、関連する APK をエクスポートします。この APK の md5 値は ________ です。(標準フォーマット:abc123)
d56e1574c1e48375256510c58c2e92e5Base.apk をエクスポートし、分析のために Thunderbolt アプリに入れます
2. apk を分析します。apk のパッケージ名は ________ です。(標準形式:com.qqj.123)
lx.tiantian.com
3. APK を分析すると、アプリの内部バージョン番号は __________ です。(標準フォーマット:1.1)
1.0 アプリケーションのバージョン番号
4. APK を分析します。APK でサポートされている最も高い Android バージョンは _______ です。(標準フォーマット:11)
12
リソース ファイルのマニフェストにある SDK バージョン 32 は Android12 に対応します
5. APK を分析します。アプリのメイン関数エントリは _________ です。(標準形式:com.qqj.123.MainActivity)
lx.tiantian.com.activity.MainActivity
6. APK を分析し、テキスト メッセージを盗むための権限名が ________ であることを確認します。(標準形式:android.permission.NETWORK)
android.permission.READ_SMS
私もこの回答を書きましたが、間違っていました
7. APP で使用される OPPO アプリキーの値は ________ です。(標準フォーマット:AB-12345678)
OP-264m10v633PC8ws8cwOOc4c0w 
8. APK のソース コードを分析します。APK のバックグラウンド アドレスは ________ です。(標準形式:com.qqj.123)
app.goyasha.com
メインアクティビティのすぐ内側にあるのですが、あまりにも明白なので、当時はまったく気づきませんでした。!
9. APK ソース コードを分析すると、APP バックグラウンド アドレス ログインのソルト値は _______ です。(標準形式: 123abc=%$&)
73g=s%!lvi8h=i7a4ge*o3s@h2n^5_yk=-y#@p6)feidfjol8@ 塩を直接検索してみました
10. APK ソース コードを分析すると、APK バックエンド アドレスのログイン パスワードは ______ です。(標準形式:longxin123)
lxtiantiancom 検索パスワード
11. APP インストール パッケージを分析します。APP パッケージ プラットフォームの検証値は ______ です。(標準フォーマット:HER45678)
H5D9D11EA Androidmainfest の内部
12.このapkパケットをキャプチャして取得した、アクセス可能なWebサイトのドメイン名のIPアドレスは_______です。(標準フォーマット:192.168.1.1)
192.168.5.80 
13. APK のソース コードを分析します。APK の暗号化キーの値は ________ です。(標準フォーマット:12345678)
ade4b1f8a9e6b666 手でひっくり返して見つけました。
14. コンピューターの画像と総合的な分析に基づいて、apk 開発会社の電話番号は __ です。(標準フォーマット:4001122334)
4008522366メディアフォレンジック
1. PC イメージ分析の場合、対象のコンピューターのパワーオン パスワードが _______ であることを確認してください。(標準フォーマット:123456)
Longxin360004
Huoyan を使おうとしたときは本当に気を失いましたが、パワーオン パスワードがなく、Longxin のエミュレーションを使用する必要があると言われました。
それを実行すると、Longxin+従業員番号であることが表示されます。
Huoyan でジョブ番号を分析して見つける
入りました
2. この事件に関係したコンピュータが最後に正常にシャットダウンされたのは_______でした。(標準形式: 2023-1-11.11:11:11)
2023-09-16.18:20:34この火の目をまだ分析していないので、法医マスターのところに行く必要があります。
3. 事件に関係したコンピューターを分析したところ、2022 年 11 月 4 日にコンピューターの電源が合計 _________ 時間オンになっていたことが判明しました。(標準形式:1時間1分1秒)
神はまた、この質問について主催者が何を考えているのか分からないとも言いました。
これらの時間を合計します
14時間17分14秒と計算しましたが、間違いでした。
4. PC イメージ分析の場合、WeChat が起動時に自動起動するプログラムであるかどうかを確認してください。(標準形式: はい/いいえ)
是 
5. 検査資料のハードディスクには暗号化されたパーティションがあり、「My Secret.jpg」ファイルの復号化された内容が与えられます。(標準フォーマット:Longxin0924)
Mimi1234 btキーを見つける
スイスアーミーナイフ
6. 前の質問に引き続き、容疑者の10月の給料はいくらですか? (標準フォーマット:123)
19821 外にある給与明細が間違っています
前の質問で取得したキーを使用して復号化し、給与明細を取得します。
7. PC イメージを分析した後、ブラウザで QQ メールボックスを使用しました。このメールボックスのパスワードは ______ です。(標準フォーマット:Longxin0924)
Longxin@2023
8. 携帯電話の画像解析と組み合わせるとプロモーションIDが取得されますので、こちらの資料を検索してこのポスターを見つけ、パスを記載してください。(標準形式:D:\X\X\1.txt)
C:\Program Files (x86)\Tencent\WeChat\2.png
mmm.txt ファイル内でパスが見つかりました
9. 容疑者の 2022 年の合計収入を見つけてください_______。(標準フォーマット:123)
205673このファイルは削除されました
2.png をキー ファイルとして使用してコンテナを復号化します
盤古石でマウントし、キーファイルで復号化すると、削除された2022年の総収入.xlsxが表示されます。 
和
10. このポスターを分析して、容疑者の銀行カード番号を見つけてください。(標準形式:62225123456321654)
6320005020052013476
仮想通貨分析
1. 関係するコンピュータを分析し、転送アドレスの現在のトークン タイプを正しく入力します______。(標準フォーマット:BNB)
ETH前のコンテナーには 111.npbk Yeshen シミュレーターのバックアップがあります。
解凍してvmdkを入手します
Fire Eye でシミュレートする
2. 関係するコンピュータを分析し、転送アドレスの現在のトークン残高を正確に入力します_______。(標準フォーマット:1.23)
4.4981ここでNight Godシミュレーターをダウンロードする必要があります
複数のシミュレータを選択してインポートする
シミュレーションを開始する
最初に開くと0です。入るにはインターネットから切断する必要があります。
3. 転送アドレス転送記録に基づいて通貨購入者のアドレスを見つけます。コイン購入者のアドレス: _____ (標準形式: 0x123ABC)
0x63AA203086938f82380A6A3521cCBf9c56d111eA 事例によると、通貨の売り手はまず0.5 ETHを通貨の買い手のウォレットに送金します。シミュレータ内のウォレットアドレスは通貨の売り手のものです。中継アドレスはピットフォールと名付けられています。0.5 ETHは通貨の買い手のアドレスに直接送金されます。」 . 、他の 2 つのトランザクションは仲介業者に転送されました
4. 振込先住所振込記録に基づいて、買主の住所から振込金額を計算します。送金額: ____ ETH. (標準形式: 12.3)
150.5 
5. ウォレットを作成するとき、アプリケーション APP は、将来パスワードを忘れた場合にウォレットを取得できるように、ニーモニック フレーズをバックアップすることを提案します。ケース処理プロセス中に、ニーモニック フレーズをバックアップすることがよくあります。容疑者。次の 3 セットのニーモニック (A) の中から正しい形式を決定してください。
A.生ソーセージアートハブは、めまいがするほど面白い亡命地元の中間小屋のプライマリーを刺激します
B.生ソーセージ アート ハブ インスパイア めまいがする面白いミドル シェッド プライマリー
C.生ソーセージアート面白い亡命地元の中間小屋プライマリー
6. 上記の質問の正しいニーモニック フレーズが、偵察で見つかった容疑者のウォレットのニーモニック フレーズのバックアップであると仮定します (既知のアドレスはイーサリアム チェーンに属します)。シミュレーターの imToken APP を通じて容疑者のウォレットを復元し、正しいニーモニック フレーズを選択してください.ウォレットアドレス(B)
A. 0xf0fF021880c4b1F79876E335c74d26DFa75DC9f9
B. 0x63AA203086938f82380A6A3521cCBf9c56d111eA
C. 0x0fd5F09C6Ba5Fd0aE6EbAFAF034913ACF7a0373A
トラフィック分析
1. 「packet 1.cap」を分析し、クライアントがサーバーにアクセスできない理由を調べます。(DoS攻撃)
まず、サーバーにアクセスできない場合は、おそらくサービス拒否攻撃です。
DDoS 是 僵尸机发送废物请求
dos 是 多次大量请求 没有相应 实现三次握手
統計セッション
120.210.129.29へのアクセスが異常に多いことが判明。
次に、宛先が 10.5.0.19 のパッケージを確認してみましょう
ip.dst==10.5.0.19 
複数の IP リクエストに一致し、ハンドシェイクが実装されていないことがわかります。
2. 「Data Packet 1.cap」を分析し、問題のサーバーの IP アドレスが _________ であることを確認します。(形式:127.0.0.1)
10.5.0.19同上
3. 「Data Packet 1.cap」を解析すると、ファイル配信サーバーのIPアドレスが_______であることがわかります。(標準形式:127.0.0.1)
120.210.129.29 http をエクスポートする
java.logファイルが転送されたことが判明
4. 攻撃者は「packet 1.cap」を分析し、_______ 脆弱性を利用してリモートでコードを実行します。(標準形式: 小文字、中国語不可)
struts2java.logのトラフィック内容を表示する
http contains "java.log" TCPフローをトレースする
サーチヘッド
5. 「Data Packet 1.cap」を分析し、悪意のあるファイルを抽出して、ファイルの MD5 値が _______ であることを確認してください。(標準形式:abcd)
87540c645d003e6eebf1102e6f904197 java.log ファイルをエクスポートする
サンドボックス分析に入れる
6. 「データパッケージ 2.cap」を分析すると、ファイルを取得するパスは ________ です。(標準形式:D:/X/X/1.txt)
C:/Users/Administrator/Downloads/新建文件夹/新建文件夹/mail.png http をエクスポートする
この mail.png が存在するストリームを検索します。
URLデコード
7. 「データパッケージ 2.cap」を解析し、ファイルダウンロードサーバーの認証アカウントのパスワードが_______であることを確認します。(標準フォーマット:123)
admin:passwdTCP フローの追跡、フロー 2 応答 200
復号化
8. 「データ パッケージ 2.cap」を分析すると、ダウンロードされたファイルのサイズが ________ バイトであることがわかります。(標準フォーマット:123)
211625 mail.png をエクスポート
プロパティを表示する
サーバーフォレンジック1
1.サーバー システムのバージョン番号は_______です。(形式:1.1.1111)
7.9.2009 基本情報
2. Web サイトのデータベースのバージョン番号は_______です。(形式:1.1.1111)
5.6.50 
3. パゴダパネルの「タイムアウト」時間は_______分です。(形式:50)
120 セントスをシミュレートする
必ずホストオンリーモードを nat モードに変更してください
IPアドレスビューIP
mobaxを使用して接続する
bt5パスワードをリセット
bt 23 待って、オフにできるものはすべてオフにします
自分のアカウントでログインする必要があります
分についての質問を思い出してください
4. Web サイトのソース コード バックアップ圧縮ファイルの SHA256 値は _________ です。(形式: 64 ビット小文字)
0bdeeacf755126dae9efd38f6a6d70323aa95217b629fd389e0e81f9b406be39バックアップは /www/backup/site/wwwroot.tar.gz にあり、sha256 を計算します。
5. 配布 Web サイト sb.wiiudot.cn の管理者パスワードのデフォルトの MD5 暗号化ソルト値は _______ です。(形式:abcd)
7f5918fe56f4a01d8b206f6a8aee40f2 ドメイン名、centos ドメイン名を追加
/管理者にアクセス
Web サイトのディレクトリの /app/database.php のデータベース アドレスを localhost に変更します。
config.php ファイルのshow_error_msgフィールドを True に変更します。
/管理者にアクセス
間違ったパスワード
Common.php ファイルでパスワード エラーを検索する
関数の使用状況を調べる
6. 配布 Web サイト sb.wiiudot.cn には、合計 _______ 件のアドレス帳データが保存されています。(標準フォーマット:1234)
67097Common.php ファイルの != を == に変更します。
任意のパスワードでログインします
7. すべての Web サイトに _______ 人の被害者がいます。(形式: xxx。重複排除なし、データ回復なし)
506 データベースを探す
8. 配布 Web サイト tf.chongwuxiaoyouxi.com には、_______ 人の「メンバー レベル」管理者がいます。(形式: 数値)
26 
9. 配信サイト sb.wiiudot.cn の管理者が名付けた「0820」という招待コードは_______です。(形式:xxx)
443074 
10. 配布 Web サイト sb.wiiudot.cn のローカル データベース ユーザー sb_wiiudot_cn のパスワードは _______ です。(形式:xxx)
KE5f3xnFHYAnG5Dtこの質問がわかりません
サーバーフォレンジック2
1. Pagoda パネルのデフォルトの Web サイト作成ディレクトリが _________ であることを分析してください。(標準形式:/etc/www)
/home/wwwroot
2. Pagoda データベース ディレクトリにテーブル構造が 1 つだけあるデータベースがありますので、「テーブル構造ファイル」を見つけて、6 番目のフィールドのフィールド タイプが _______ であることを解析してください。(標準形式: int(11))
char(128)
3. 「Lexiang Finance」Web サイトにバインドされているドメイン名が _______ であることを分析してください。(標準形式: www.baidu.com)
jinrong.goyasha.com
http://192.168.75.140:8888/400c78c0/
パスワードは123456です
4. "Lexiang Finance" データベースにアクセスし、ユーザー テーブルを見つけます。パスワードは 123456、復元された UID は 2909、ユーザー名は goyasha であるとします。暗号化されたパスワードの値は _______ です。(標準形式:abcdefghijklmnopqrstuvwsyz)
d2174d958131ebd43bf900e616a752e1 使用したデータベースは、sjp
ユーザーパスワード+ユーザー登録時間計算MD5 
バックアップデータベースのリカバリ
root パスワードを見つけて「phpmyadmin」と入力します。
5. 「Enjoy Finance」を再構築し、プラットフォームのフロントエンドログインインターフェースにアクセスしてください。メンバーログインインターフェースの上部にあるロゴの文字は_______です。(標準フォーマット:ラブファイナンス)
睿文化login.html ファイル内で png ファイルを見つけます。
ファイルを見つける
6. 「Enjoy Finance」に外国為替以外の商品が合計 _______ 件追加されたことを分析してください。(標準フォーマット:5)
2 wp_productclass表で、pcid 5 が外国為替であることを確認してください。
wp_productinfoisdelete で削除されたフィールドにも注目してください。削除されていない非為替フィールドは合計 2 つあります。
7. 「Enjoy Finance」設定を分析して、TEDA の通貨アドレスをリチャージしてください。(標準フォーマット:EDFGF97B46234FDADSDF0270CB3E)
85CF33F97B46A88C7386286D0270CB3E
wp_rcset表面
8. 「楽祥金融」のリチャージ額が582,402元を超える被害者の総リチャージ額は_______であると分析してください。(標準フォーマット:12345678)
101000087
リチャージはwp_price_logテーブルに記録されます
9. 「Lexiang Finance」銀行カード番号「6239039472846284913」にバインドされているユーザー名が_______であることを分析してください。(標準フォーマット:張三)
kongxinwp_bankcar テーブルで 6239039472846284913 に対応するカード所有者名 (Zhang Jiaoshou) を見つけます。
uid に対応し、wp_userinfo テーブルでユーザー名を見つけます。ユーザー名は kongxin です。
10.「楽祥金融」の開始時刻が「2022/03/01 18:44:01」、終了時刻が「2022/03/01 18:52:01」であることを分析してください。取引の終値は_______です。(標準フォーマット:1888.668)
2896.924トランザクションレコード wp_order テーブル
ポジション開始時刻はタイムスタンプ 1646131441 に変換され、ポジション終了時刻はタイムスタンプ 1646131921 に変換されます。
レコードをフィルターで除外する
11. 「Lexiang Finance」の注文番号は「202112090946233262」で、締め切り時刻は_______であると分析してください。(標準形式:2022-1-11.1:22:43)
2021-12-09 09:52:23 
タイムスタンプを変換する
12. Pagoda パネルのユーザーが、パラメータ「/BTCloud?action=UploadFilesData」を使用して POST リクエストを作成しようとしたことがあります。ユーザーがアクセス リクエストを行うために使用したと思われる ( ) コンピュータ システムを教えてください。
A. Windows 8.1
B. Windows 10
C. Windows 11
D. Windows Server 2000
Pagoda パネルのアクセス ログは /www/server/panel/logs/request ディレクトリにあります。
2022-07-23のログからアクセス記録を検索
Windows NT 6.3 は win8 です
13. サーバーイメージの最高権限を持つ「root」アカウントのパスワードが_______であることを解析してください。(標準フォーマット:a123456)
g123123/etc/shadow と passwd をエクスポートします
カーリーにドラッグ
kaliにはrockyou.txtが付属していますが、解凍する必要があるので、詳しくは次の記事を参照してください。
