2024 FIC初赛 (write up)
手机取证
1. 嫌疑人李某的手机型号是?
XiaoMi Mi4
XiaoMi 6
Iphone 15 pro
IPhone 15 peo max
直接看设备信息是没有的,然后在文档里面找找可以找到useragent
xiaomi mi4
2. 嫌疑人李某是否可能有平板电脑设备,如有该设备型号是?
看热点信息Xiaomi Pad 6S Pro 12.4
3. 嫌疑人李某手机开启热点设置的密码是?
5aada11bc1b5
4. 嫌疑人李某的微信内部 ID 是?
wxid_wnigmud8aj6j12
5. 嫌疑人李某发送给技术人员的网站源码下载地址是什么?
根据题目推测在微信聊天里面,找到相关信息,佛曰加密
扫二维码,复制文本内容,用佛曰解密http://hi.pcmoe.net/Buddha.html不知道为什么进不去了,可以用美亚的工具集的解密工具
或者用 qc research,也可以得到加密文本
新佛曰:諸隸僧殿降吽諸陀摩隸殿僧殿缽殿薩願僧殿宣摩殿嚴願殿是迦咒叻吶嚤須塞亦須阿隸嚤須愍眾殿蜜殿隸願蜜哆蜜亦願是念慧殿隸摩哆殿即隸嚤訶須隸亦愍如如殿囑殿囑
解密下来是这个http://www.honglian7001.com/down
6. 受害者微信用户 ID 是?
limoon890
7. 嫌疑人李某第一次连接 WIFI 的时间是?
右键跳转到源文件
03-14 16:55:57.249
8.分析嫌疑人李某的社交习惯,哪一个时间段消息收发最活跃?
14-16
16-18
18-20
20-22
这个直接看聊天时间就行,发现很多时间都是 16-18
9. 请分析嫌疑人手机,该案件团伙中,还有一名重要参与者警方未抓获,该嫌疑人所使用的微信账号 ID 为?
老苏
wxid_kolc5oaiap6z22
10. 请分析嫌疑人手机,嫌疑人老板组织人员参与赌博活动,所使用的国内访问入口地址为?
192.168.110.110:8000/login
服务器取证
1.esxi 服务器的 esxi 版本为?
6.7.0
2.请分析 ESXi 服务器,该系统的安装日期为?(年-月-日 时:分:秒)
A. 2024 年 3 月 12 日 星期二 02:04:15 UTC
B. 2024 年 3 月 12 日 星期二 02:05:15 UTC
C. 2024 年 3 月 12 日 星期二 02:06:15 UTC
D. 2024 年 3 月 12 日 星期二 02:07:15 UTC
创建时间
3. 请分析 ESXi 服务器数据存储 “datastore” 的 UUID 是?
仿真,记得 vm 嵌套虚拟化,或者 hyperv 来实现,看到 ip192.168.8.112
若 vmware 报错,无法嵌套虚拟化
https://www.bilibili.com/video/BV1NXABzGETp/?spm_id_from=333.337.search-card.all.click
这个能很快解决
修改一下子网 ip192.168.8.0,确保电脑和ESXi主机在同一网段
原理图
为什么同一网段:因为在默认的简单网络环境中(尤其在没有专业网络知识配置的情况下),跨网段的路由通常不是自动建立的。如果路由器没有配置到192.168.8.0/24网段的路由,数据包到达网关后就会被丢弃,导致“无法访问”或“请求超时”。
然后到自己浏览器上访问192.168.8.112,找到 datastore,65efb8a8-ddd817f6-04ff-000c297bd0e6
4. ESXI 服务器的原 IP 地址?
见上题 192.168.8.112
5. EXSI 服务器中共创建了几个虚拟机?
4 个
6. 网站服务器绑定的 IP 地址为
方法一:直接看
我这里直接有,点开看看是不是就行(其实光看名字,就觉得 www 这个应该是网站服务器)
方法二:御剑端口扫描
御剑直接扫描 192.168.8.0-->255
访问试试,可以发现 192.168.8.89 是网站服务器
方法三:查看 config 文件
所以我直接把镜像文件找出来,添加为新检材,然后再文件系统直接搜索 sysconfig,再这里可以找到 ip192.168.8.89
方法四:绕过密码,登录查看 ip
打开虚拟机的时候,点 e,进入此界面
看这个师傅的博客
7. 网站服务器的登录密码为?
这个题,可以用 commonpwd.txt(计算机取证里的字典) 里面的密码爆破
方法一:hydra
用 hydra 工具,这个博客有详细教程
在 hydra 安装目录开启终端,输入 hydra -l root -p 你的字典路径 -o 结果保存路径 服务器名://服务器 ip
然后可以得到 qqqqqq 是密码,但是我这里显示系统接口502异常
方法二:导出 shadow,John the Ripper(服务器运维、Linux 渗透测试)爆破,速度很快
在火眼里面,需要把 www 这个虚拟机镜像当成新检材添加,然后在文件系统里面搜索 shadow,passwd,或者找到/etc/shadow,/etc/passwd
使用工具John the Ripper(开膛手约翰)。适合各种系统,如果是 kaili 应该是自带的。
下载解压后去run 文件夹下,把你的shadow 和密码字典复制到里面
Shadow 文件是 Linux/Unix 系统中存储用户密码加密信息(哈希值)的关键系统文件,正式名称为/etc/shadow。shadow 仅 root 可读,加密复杂,可以保护密码
然后在这里右键运行终端
输入命令john --wordlist=common.txt shadow.txt,powershell 需要在最前面加上.\
可以看到爆破出来了,账号root 密码 qqqqqq
方法三:passware kit( Windows/Office/Mac 密码)
属于是吃力不讨好的办法了
passware kit 通常需要你将/etc/shadow和/etc/passwd文件合并成一个它支持的格式(如pwdump格式),或者直接导入这两个文件。而这个合并操作需要 unshadow 来进行(John the Ripper自带)
导入软件:打开 Passware Kit,选择“恢复文件密码”或类似选项,导入生成的passwd.file或尝试直接导入 shadow 文件。软件会自动识别哈希类型(如 SHA-512)。
流程的话后面计算机的题目,我有写到
对比维度 | /etc/passwd | /etc/shadow |
存储内容 | 用户基本信息(名称、UID、家目录、Shell) | 用户密码哈希、密码策略 |
权限设置 | 所有人可读(-rw-r--r--) | 仅root 可读(-rw---- 或 -rw-r----- ) |
安全级别 | 低 (公开信息) | 高 (敏感信息) |
历史演变 | 早期Unix 就存在 | 为安全分离出来(Shadow Suite) |
是否必需 | 必需,系统启动就需要 | 非必需,可回退到 passwd 存密码 |
方法四:Hash Suite(图形化工具(GUI), Windows 专用密码审计工具,支持 shadow 文件)
有收费版本,也有 free 版本.
用起来方便,但是不合适,效率低,需先用unshadow工具合并/etc/passwd和/etc/shadow才能导入,步骤繁琐。
和 passware kit 一样
8. 网站服务器所使用的管理面板登陆入口地址对应的端口号为?
14131
9. 网站服务器的 web 目录是?
接下来启动宝塔面板,得用 ssh 连接,直接在虚拟机上会有乱码。
cmd 进入终端,输入 ssh root@192.168.8.89 回车,输入 yes,输入密码 qqqqqq,就可以了
然后直接输入 bt,可以先启动宝塔服务 3,然后修改密码 5
直接在浏览器上计入 192.168.8.89:14131,进不去
然后再终端,输入 bt,14 等一会
然后访问这个 https://192.168.8.89:14131/adec8c75
这里其实在火眼可以看到有安全入口,但我并不太清除这些
登录
在根目录发现一个 webapp,那答案就是/webapp
10. 网站配置中 Redis 的连接超时时间为多少秒?
软件商店,最近入口 redis,看性能调整,0 秒.
但是不对查了一下
概念 | 比喻 | 技术含义 |
连接超时 | 前台接待等待时间 你走到前台,服务员30秒内没回应,你就离开 | 建立TCP连接时,客户端等待服务器响应的最长时间 |
空闲超时 | 客房闲置清理 你入住酒店后,连续3天不出门,酒店来检查 | 连接建立后,如果一段时间内无数据交互,服务器主动断开 |
1. 连接超时 (Connection Timeout)
特点:
- 发生在TCP三次握手阶段
- 客户端设置,防止无限等待
- 默认值:2-5秒
- 错误提示:
Connection timed out、ECONNREFUSED
2. 空闲超时 (Idle Timeout)
特点:
- 发生在连接建立后的闲置期
- 服务器端设置,清理无效连接
- Redis默认:0(禁用,永不超时)
- 错误提示:突然断开,下次请求时发现连接已关闭
配置位置(服务端redis.conf)
- 连接超时:客户端 → 服务器(建连接时)
- 空闲超时:服务器 → 客户端(连接建立后)
在哪里找连接超时
客户端连接超时是应用程序设置的,不是 Redis 服务端控制的。需要在代码或配置文件中查找。
在网站目录里面找到一个 jar 文件ruoyi-admin.jar
这是一个 Java 的可执行 JAR 包(表明它是 若依(RuoYi) 后台管理系统的打包文件)
3. 问 ai
1. 里面有什么?(结构解析)
用压缩软件(如 WinRAR、7-Zip)打开它,你会看到以下核心目录:
BOOT-INF/classes/:核心配置文件和源码。
这里面有一个application.yml(或application-dev.yml),这就是你要找的配置文件,Redis 的连接超时设置就在里面。
BOOT-INF/lib/:依赖库。
里面装满了各种.jar文件(Spring、MyBatis 等框架),让程序能跑起来。
META-INF/:存放签名、清单信息。
org/springframework/boot/loader/:Spring Boot 的启动加载器,负责读取上面的内容并启动应用。
2. 如何查看 Redis 连接超时?
你要找的是application.yml配置文件,它在BOOT-INF/classes/目录里。
按照 ai 说得,解压查看了 application.yml 文件,可以找到 10s
不想解压,可以用 jadx 打开,到资源文件里面也可以找到
11. 网站普通用户密码中使用的盐值为?
根据题目中得用户密码,在 jadx 里面搜索类名,ruoyi,找到这个com.ruoyi.app.controller.UserInfoController
在里面随便翻一翻,就可以找到这个!@#qaaxcfvghhjllj788+)_)((很像是盐值
这里是调用了 encrypassword,右键跳转到声明。
可以看到是,psw 和 salt 得 MD5,那就和刚刚对上了,那就是盐值
12. 网站管理员用户密码的加密算法名称是什么?[格式:Sha256]
在这里无意找到了,Bcrypt
13. 网站超级管理员用户账号创建的时间是?
方法一:直接火眼
但是我在 data 虚拟机里面的 docker 找到了 ji-mei 的 sys-user, 2022-05-09 14:44:41
方法二:连接数据库
尝试登录 mysql,发现使用这个密码,不对
在 pc 上又发现了一个密码,试一试my-secret-pw
还是不行,但是也知道了 mysql 在 data 服务器上面,且知道账号 root 密码 hl@7001
登录一下 data 服务器,成功了
看下有没有 mysql 或者在火眼上,可以看到在 docker 里面
启动一下 docker
然后输入 docker ps -a 查看所有容器(包括已经停止的),可以看到 mysql,然后 docker start mysql 启动
启动成功了就可以连接数据库了,打开 navicat,输入账号密码和 ip:192.168.8.142,测试连接成功
然后在 sys-user 可以找到
14. 重构进入网站之后,用户管理下的用户列表页面默认有多少页数据?
登录网站试试,显示系统接口 502 异常
突然想起计算机有个运维笔记(我是最后做的服务器)
重构思路参考这个师傅的博客
先进入 webapp 目录
然后修改 jar 包,输入
[root@localhost webapp]# jar xf ruoyi-admin.jar BOOT-INF/classes/application-druid.yml
[root@localhost webapp]# vi BOOT-INF/classes/application-druid.yml
localhost改为192.168.8.142,再把密码改成JnzssCCsp2NCpcjA
Vim 允许你录制一系列操作(比如移动光标、删除、插入、复制等),然后重复执行这些操作,这就是“宏”。
- 当你按下
q+ 一个字母(比如qa)时,Vim 会开始录制宏,左下角会显示recording。 - 再次按下
q结束录制。 - 之后可以用
@a来执行刚才录制的宏。
这里注意,刚进去是只读状态,修改要按 i,然后左下角就会有提示 insert。修改完成之后,按 esc,insert 会消失,但这只是退出了 vim 编辑,还需要回复命令模式,按 shift+;,即冒号,左下角就会有个:,然后输入 wq 就行了(:wq 是保存并退出)
[root@localhost webapp]# jar uf ruoyi-admin.jar BOOT-INF/classes/application-druid.yml
在上一题的数据库中的 sys-job 修改一下时间(也是按照运维笔记)
ls -al 可以看到修改时间,变了就是成功了
然后修改 redis, 输入
[root@localhost webapp]# jar xf ruoyi-admin.jar BOOT-INF/classes/application.yml
[root@localhost webapp]# vi BOOT-INF/classes/application.yml
localhost 修改为 127.0.0.1
[root@localhost webapp]# jar uf ruoyi-admin.jar BOOT-INF/classes/application.yml
最后按照运维笔记上的提示修改时间
然后等一会。启动 ruoyi
java -jar ruoyi-admin.jar
然后再次访问后台网站,还是不行(我这里还无法 ssh 连接很难受)
然后看了看几个其他师傅的博客,知道改数据库时间是因为 202X 年 1 月 1 日已经过去了
我现在是 2026 年的一月一日都过去了,所以应该修改为 2026,2027
然后再次尝试,可以看到应该是成功了
192.168.8.89,访问一下,不报错了
然后在 sys_user,修改 admin 的密码,密码加密是bcrpyt,生成一个密码替换
10$2ISiYpmPm.pPutoErWZuP.3Oqa4JJOUEmjhOkWM8mcIPLD8aeFDb2
但是又说验证码已失效,对比一下别人的都是有验证码的
那没办法了,应该是把验证码服务取消了。借用WXjzc 师傅的图片了
进去应该可以看到这个 877 页
15. 该网站的系统接口文档版本号为?
3.8.2
16. 该网站获取订单列表的接口是?
/api/shopOrder
17. 受害人卢某的用户 ID 是?
10044888
18. 受害人卢某一共充值了多少钱?
这里需要写一个 sql 语句,465222
19. 网站设置的单次抽奖价格为多少元?
10
20. 网站显示的总余额数是?
7354468.56
21. 网站数据库的 root 密码是?
my-secret-pw
22. 数据库服务器的操作系统版本是?
7.9.2009
23. 数据库服务器的 Docker Server 版本是?
这里就可以正常做了,直接搜索在文件系统搜索 docker1.13.1
24. 数据库服务器中数据库容器的完整 ID 是?
9bf1cecec3957a5cd23c24c0915b7d3dd9be5238322ca5646e3d9e708371b765
25. 数据库服务器中数据库容器使用的镜像 ID 是?
66c0e7ca4921e941cbdbda9e92242f07fe37c2bcbbaac4af701b4934dfc41d8a
26. 数据库服务器中数据库容器创建的北京时间是?
2024-03-13 20:15:23
27. 数据库服务器中数据库容器的 ip 是?
输入 docker inspect 9bf1cecec395,172.17.0.2
获取 ID 为9bf1cecec395的 Docker 对象的完整配置和状态信息
28. 分析数据库数据,在该平台邀请用户进群最多的用户的登录 IP 是?
在 app_group_apply表里面
邀请最多的是53576061
然后在 app_user_info 的 id 筛选, 223.104.51.34
29.分析数据库数据,在该平台抢得最多红包金额的用户的登录 IP 是?
在app_user_record表中
sql 查询,13107145,43.139.0.193
SELECT user_id, SUM(money) AS total_money FROM app_user_record WHERE notes = '抢群红包' GROUP BY user_id ORDER BY total_money DESC;30. 数据库中记录的提现成功的金额总计是多少(不考虑手续费)?
在 app_user_withdraw 表里面
sql 查询,35821148.48
31.rocketchat 服务器中,有几个真实用户?
不知道服务器密码,其他博客的方法
重置了密码,重启登陆一下
ip addr 我这里是 192.168.8.129,
端口应该是 3000
http://192.168.8.129:3000
还有账号密码,在 pc 里面
点击 workspace
里面有个用户,可以看到四个,有一个是机器人,所以是三个
32. rocketchat 服务器中,聊天服务的端口号是?
3000 见上题
33. rocketchat 服务器中,聊天服务的管理员的邮箱是?
admin@admin.com,见 上题
34.rocketchat 服务器中,聊天服务使用的数据库的版本号是?
reports 设置有,5.0.24
35. rocketchat 服务器中,最大的文件上传大小是?(以字节为单位)
设置里面的文件上传
36. rocketchat 服务器中,管理员账号的创建时间为?
这个应该要在 mongodb 数据库里面找了,在火眼可以看到在容器里面
2024-03-14 08:19:54
方法一:直接查询
输入 mongo 会提示警告,表示已经弃用,应该使用 mongosh.连接成功
然后 db.users.find(),查询一下,发现有点多,看不到
尝试 ssh 连接,被拒绝了
在终端输入vim /etc/ssh/sshd_config, 去掉PermitRootLogin前的#并修改后面的值为yes,保存后重启ssh服务
方法二:数据库连接
输入 docker inspect rocketchat-mongodb-1,查看数据库容器 ip,172.18.0.2
Cannot connect to MongoDB.No suitable servers found: ‘serverSelectionTimeoutMS’expired 问题排查_cannot connect to mongodb. no suitable servers fou-CSDN博客
37. rocketchat 服务器中,技术员提供的涉诈网站地址是?
http://172.16.80.47
38. 综合分析服务器,该团伙的利润分配方案中,老李的利润占比是多少?
35%
39. 综合分析服务器,该团队 “杀猪盘” 发送消息“收网!”的时间为?(2025-02-11 19:16)
看来是这个时间 2024-03-15 16:14
40. 请综合分析,警方未抓获的重要嫌疑人,其使用聊天平台时注册邮箱号为?
lao@su.com
41. 分析 openwrt 镜像,该系统的主机名为?
打开虚拟机就是 iStoreOS
平台上的
42.分析 openwrt 镜像,该系统的内核版本为?
输入 uname -r
平台
43. 分析 openwrt 镜像,该静态 ip 地址为?
这些 ip 问题,最好在 pc 上面找,保证一定是对的。192.168.8.5
自己虚拟机可能会有一些配置问题,导致 ip 不一样。
像我这个,我输入 ip addr,出来就是 192.168.8.128 就是不对的
后面登上平台,显示 192.168.8.5.
44. 分析 openwrt 镜像,所用网卡的名称为?
给了上一题的图,问了 ai,给了我一个表格。
应该就是 br-lan
网卡名称 | 类型/状态 | IP地址 | 说明 |
br-lan | 桥接接口 (UP) | 192.168.8.128/24 | 通常用于 OpenWrt 的LAN 口,连接局域网设备 |
dockerθ | Docker 桥接接口 (UP) | 172.17.0.1/16 | Docker默认桥接网络,用于容器间通信 |
veth1f887d5@if15 | 虚拟以太网对 (UP) | 无IP | Docker容器与宿主机通信用的虚拟网卡 |
teq1θ | 流量控制队列 (DOWN) | 无 | 通常用于负载均衡,当前未启用 |
link/void | 未连接/虚拟接口 | 无 | 可能是占位或未配置的接口 |
但是不对,登上网站试试
访问 192.168.8.128(我这里是这个,不一定)
密码: hl@7001(来自计算机第 17 题)
eth0
45. 分析 openwrt 镜像,该系统中装的 docker 的版本号为?
20.10.22
46. 分析 openwrt 镜像,nastools 的配置文件路径为?
/root/Configs/NasTools
47. 分析 openwrt 镜像,使用的 vpn 代理软件为?
pqsswall2
48. 分析 openwrt 镜像,vpn 实际有多少个可用节点?
54 ,不对,53 个
节点” ≠ “可用节点”
- 一个“VPN 节点”在系统中可能只是配置项(比如 IP、端口、协议、密码等)
- 只有当它能通过网络连通并成功建立隧道时,才叫“可用节点”
49.分析 openwrt 镜像,节点 socks 的监听端口是多少?
1070
50. 分析 openwrt 镜像,vpn 的订阅链接是?
服务的节点订阅
编辑
https://pqjc.site/api/v1/client/subscribe?token=243d7bf31ca985f8d496ce078333196a
计算机取证
1. 分析技术员赵某的 windows 镜像,并计算赵某计算机的原始镜像的 SHA1 值为?
计算 sha1,FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD6
2. 分析技术员赵某的 windows 镜像,疑似 VeraCrypt 加密容器的文件的 SHA1 值为?
一般这些都在用户痕迹里面可以找到,很重要的一个分析,很明显这个 2024.fic 就是
文件系统搜索一下,右键哈希B25E2804B586394778C800D410ED7BCDC05A19C8
3. 据赵某供述,他会将常用的密码放置在一个文档内,分析技术员赵某的 windows 镜像,找到技术员赵某的密码字典,并计算该文件的 SHA1 值?
文档
E6EB3D28C53E903A71880961ABB553EF09089007
4. 据赵某供述,他将加密容器的密码隐写在一张图片内,隐写在图片中的容器密码是?
在文档
隐写,那就先用 010 打开,翻到最后面qwerasdfzxcv
5. 分析技术员赵某的 windows 镜像,bitlocker 的恢复密钥是什么?
将 2024fic 挂载,在里面发现了恢复密钥404052-011088-453090-291500-377751-349536-330429-257235
6. 分析技术员赵某的 windows 镜像,bitlocker 分区的起始扇区数是?
点击分区详情
146794496
7. 分析技术员赵某的 windows 镜像,默认的浏览器是?
Chrome
8. 分析技术员赵某的 windows 镜像,私有聊天服务器的密码为?
在 2024fic 里面Zhao
9. 分析技术员赵某的 windows 镜像,嫌疑人计算机中有疑似使用 AI 技术生成的进行赌博宣传的图片,该图片中,宣传的赌博网站地址为?
第三个照片
www.585975.com
10.分析技术员赵某的 windows 镜像,赵某使用的 AI 换脸工具名称为?
在 D 盘,找到这个,感觉是
打开看看roop
11. 分析技术员赵某的 windows 镜像,使用 AI 换脸功能生成了一张图片,该图片的名称为?
看到了这个,长得像某明星 db.jpg
12. 分析技术员赵某的 windows 镜像,ai 换脸生成图片的参数中 --similar-face-distance 值为?
0.85
13. 分析技术员赵某的 windows 镜像,嫌疑人使用 AI 换脸功能所使用的原始图片名称为?
怀疑是 dst01.jpeg
终端历史记录确定了
14. 分析技术员赵某的 windows 镜像,赵某与李某沟通中提到的 “二维码” 解密所用的网站 url 地址为?
http://hi.pcmoe.net/buddha.html
15. 分析技术员赵某的 windows 镜像,赵某架设聊天服务器的原始 IP 地址为?
192.168.8.17
或者在上一题的图片中,也可以看到
16. 分析技术员赵某的 windows 镜像,据赵某交代,其在窝点中直接操作服务器进行部署,环境搭建好了之后,使用个人计算机登录聊天室进行沟通,请分析赵某第一次访问聊天室的时间为?
2024-03-14 20:32:08
17. 分析技术员赵某的 windows 镜像,openwrt 的后台管理密码是?
只可能是这个了, hl@7001
18. 分析技术员赵某的 windows 镜像,嫌疑人可能使用什么云来进行文件存储?
往下再翻一翻,易有云
19. 分析技术员赵某的 windows 镜像,工资表密码是多少?
找不到密码,应该是要爆破,用 passwarekit
双击不行用这个在安装程序目录下的终端输入 msiexec /package PasswareKitForensic_Setup.msi
只找到一个名单.xslx
在本地打开,拖到 passware 里面,选择自定义设置
右下角,删除所有
左下角添加,字典,打开字典管理器
左下角,选择从文件编译
选择你新建的 txt(有 commonpwd.txt 密码的),勾选保持顺序
下一步,完成
选择那个字典,直接点击修复,就开始攻击了aa123456
20. 分析技术员赵某的 windows 镜像,张伟的工资是多少?
28300