计算机取证

1. 请分析技术PC检材,该计算机的开机密码为?

admin

2. 请分析技术PC检材,该检材中的最后一次正常关机时间

开关机时间倒序即可:

2024-06-07 17:00:44

3. 请分析技术PC检材,该检材中存在VC容器,该容器中存放了多少张苏某生成的AI图片?

法一:在文件分类里面的jpg或者png找,先筛选看看png文件由大到小排序

结合案件的背景是抹黑别的车企的、这个车着火的照片一眼ai,跟踪一下原目录

发现7个ai图片

法二:联系一下下一题,找00032-3240475050.png这个文件:

找到照片返回原始目录,也是跳到前面提到的目录那里。

7

By the way

这个路径可以关注一下,VMwareDnD 文件夹是 VMware 虚拟化软件(如 VMware Workstation、VMware Player)用于拖放功能的临时缓存文件夹

4. 请分析技术PC检材,该检材中文件名为”00032-3240475050.png”的Ai生成图片正向提示词包含如下哪些内容

A.Caronfire:4

B.electriccar

C.outdoorsbackground

D.bestquality

全局搜索能看到png里面有,看一下源码:

我都没想到配置信息会在生成的照片里。。

ABCD

5. 请分析技术PC检材,该检材中文件名为”00032-3240475050.png”的Ai生成图片使用的模型是

接着往下看就有了

xxmix9realistic_v40

6. 请分析技术PC检材,嫌疑人为自动生成关于”特苏汽车”的相关评论,使用Python脚本创建了一个web程序,用以调用Ai网站接口,该脚本调用Ai接口使用api的key为?

sk-proj-[REDACTED]

7. 请分析技术PC检材,该检材中上述脚本访问Ai接口使用的模型是

gpt-3.5-turbo

8. 请分析技术PC检材,该检材中嫌疑人虚构了几条”李安安”关于”特苏汽车”的经历

桌面AI文件夹中

整理一下即可:

4

9. 请分析技术PC检材,嫌疑人本地安装的用于模型训练的工具名称为

ollama

10. 请分析技术PC检材,嫌疑人在本地化Ai软件中安装的模型名称为

llama3:latest

11. 请分析技术PC检材,下列关于本地化AI软件来源描述正确的是?

A. 苏某使用USB设备接入到虚拟机中,将程序安装包复制进入虚拟机中
B. 苏某使用虚拟机中的浏览器将程序安装包下载到虚拟机中
C. 苏某将安装包下载到其物理机中借助vmtools将安装包拷贝到虚拟机中
D. 苏某通过微信好友的方式,将安装包传输进入到虚拟机中

VMwareDnD文件夹下能看到这个文件

结合VMwareDnD文件夹属性即可

C

12. 请分析技术PC检材,该检材中嫌疑人使用的邮箱账号是

13. 请分析技术PC检材,该检材中嫌疑人向老板的邮箱发送了一个Ai生成的图片,该图片的seed值是

打开邮件,找到已发送邮件

找到图片

保存后可以在源码中看到

3240475055

14. 请分析技术PC检材,AI测试对话共有多少条记录

C:\Users\admin\Desktop\Ai\测试数据.xlsx中有30

15. 请分析技术PC检材,本地AI模型软件监听的端口号为

在日志文件中看得到:

5000

服务器取证

宝塔重构

首先需要设置网卡:

DHCP要网段个设置覆盖这个ip,要把虚拟机ip设置到~100.xxx段,至此可以ssh连接。(原因见第六题)

启动宝塔(直接用bt指令没有用)发现是启动不了的,试一试直接用宝塔启动程序(BT-Panel宝塔面板的主启动程序)启动试试:

做到后面反过来注释:/etc/init.d/bt还没有试过晚点我倒过来试试。

提示没有对应的模块,所以这里需要安装对应的模块和库依赖:

1
2
3
4
5
6
7
8
# 1. 进入面板目录
cd /www/server/panel

# 2. 使用宝塔自带的pip(关键!)
/www/server/panel/pyenv/bin/pip3 install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple

# 3. 完成后重启面板
/etc/init.d/bt restart

安装完仍然用不了,所以还需要进行修复,这里用了宝塔的修复文件:

1
2
3
# 执行官方修复
wget -O panel_fix.sh http://download.bt.cn/install/update_panel.sh
bash panel_fix.sh

执行完即可。

安装好之后应该是没有把bt放在系统PATH中,所以直接到/etc/rc.d/init.d/bt

(或者快捷方式/etc/init.d/bt)中访问

1. 分析检材5,该镜像文件的SHA256值是?

fbfae35e6a525cb6a439b9998dfa4bdad19eadc6fd94ab3aa4cb869834fd7d90

计算完哈希即可。

2. 分析检材5,该镜像中操作系统的内核版本号是?

1.cat /etc/centos-release

1
2
[root@localhost panel]# cat /etc/centos-release
CentOS Linux release 7.9.2009 (Core)

/usr/lib/os-release中也有,不过不全:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
[root@localhost panel]# cat /usr/lib/os-release
NAME="CentOS Linux"
VERSION="7 (Core)"
ID="centos"
ID_LIKE="rhel fedora"
VERSION_ID="7"
PRETTY_NAME="CentOS Linux 7 (Core)"
ANSI_COLOR="0;31"
CPE_NAME="cpe:/o:centos:centos:7"
HOME_URL="https://www.centos.org/"
BUG_REPORT_URL="https://bugs.centos.org/"

CENTOS_MANTISBT_PROJECT="CentOS-7"
CENTOS_MANTISBT_PROJECT_VERSION="7"
REDHAT_SUPPORT_PRODUCT="centos"
REDHAT_SUPPORT_PRODUCT_VERSION="7"

7.9.2009

3. 分析检材5,系统有几次登录失败的记录数?

1
last -f /var/log/wtmp
1
lastb -f /var/log/btmp

此外,utmp(user)当前在线用户记录当前正在登录系统的用户信息,用户注销后记录自动删除。

直接这么看是不行的,打开是乱码;同时应该是创建虚拟机的原因,会重置日志,所以需要把原磁盘中的文件替换掉即可:

先把这个文件删除,再把原来磁盘中的文件上传

2

4. 分析检材5,宝塔面板对应的账号是什么?

宝塔的基础信息存在这里:/www/server/panel/data/default.db

k2zrruet

当然也可以等宝塔修好之后直接看

5. 分析检材5,Mysql数据库的版本号是?

一是重构了宝塔之后能直接看的到

二是可以直接看文件:

/www/server/mysql/version.pl

8.0.24

6. 分析检材5,该服务器ssh服务允许root账户从哪个IP远程登录?

这需要在/etc/ssh/sshd_config文件中看:

cat /etc/ssh/sshd_config

能看到这里的策略是只放行192.168.100.1

7. 分析检材5,网站后台的uri是?

前置知识

这里引入知识点:

URI(统一资源标识符)

定义:URI 是一个紧凑的字符序列,用于唯一标识一个抽象或物理资源。

语法结构

scheme:[//authority]path[?query][#fragment]

示例

  • https://www.example.com:8080/docs/guide.html?section=intro#overview
  • mailto:user@example.com
  • urn:isbn:978-7-5086-1234-5
  • file:///etc/passwd

URL(统一资源定位符)

定义:URL 是 URI 的一个子集,除了标识资源外,还明确描述如何访问该资源(即提供具体的访问机制和网络位置)。

必须包含

  • 访问协议(如 https://
  • 网络位置(主机名或IP,如 www.example.com

示例

  • https://www.example.com:8080/docs/guide.html
  • ftp://ftp.example.com/software/file.zip
  • ssh://user@server.com:22

题解

/www/wwwroot/huaxi/adm_hx_s

包括下面所找到的登录网站login.pho也是在该文件夹下的。

8. 分析检材5,网站代码所在的完整路径为?

/www/wwwroot/huaxi

9. 分析检材5,网站代码中记录了MySQL数据库账号密码的配置文件名为?

比赛期间我是到另外两个前端网址的文件夹中找的,当时也乱翻出来了数据库的配置文件,不过是在另外两个目录下的,反思了一下其实可以参考一下火眼的解析:

数据库信息主要是再huaxi这个文件夹下的

法一:

这里参考了一下luoyinhui的办法:

这里能看到mysql的开放端口,这个时候全局搜3306/33060(/www/wwwroot/huaxi下

三个翻一下就能看得出pdo.php是数据库配置文件

法二:

重构了宝塔面板之后能看到相关数据库的信息:

这里有密码djGwxzpbdGs3yT8t,拿这个密码搜一下

10. 超级管理员用户的密码在加密过程中共进行了几次哈希值计算

[https://chat.yanlu.shop/adm_hx_s/login](https://chat.yanlu.shop/adm_hx_s/login)

密码加密算法位于 common/class/common.php

1
2
3
public static function getMD( $val ) {
    return substr( md5( md5( $val ) ), 5, 20 );
}

看的出来是两次md5

11. 该网站对超级管理员用户名也进行了加密处理,请问加密时所使用了rsa算法,该私钥对应的变量名是

rsa算法位于common/class/rsa.php

1
private static string $resPrivateKey = '-----BEGIN RSA PRIVATE KEY-----...';

$resPrivateKey

12. 超级管理员的密码明文是什么

找到登录日志,时间倒序,找到最后一条admin类的登录记录,找到密码dgdfhd@#$%f3464

{"account":"admin_z","password":"dgdfhd@#$%f3464","vcode":"5364"}

13. 重构并登录到网站后台,“主页-控制台”中页面显示的会员数量是多少

首先是用火眼仿真的host编辑器加上ip和域名192.168.100.3 chat.yanlu.shop(每个人虚拟机的ip不同,记得变换)

[http://chat.yanlu.shop/adm_hx_s/admin.php](http://chat.yanlu.shop/adm_hx_s/admin.php)

用上面的账密即可登入到网站

4423

14. 重构并登录到网站后台,“主页-控制台”中默认情况下显示的充值记录共有多少页数据

52

15. 分析该网站,用户充值的总金额为

法一:找到充值记录中导出

求和即可

法二:对数据库名字敏感一些,deposit有存款的意思,于是跟进

执行语句:

SELECT SUM(money) AS total_money FROM hx_log_deposit;

4230419

16. 已删除的用户有多少个

因为数据表很多,所以说关注条数,可以较快在mysql后台找到对应条数的表。

这里我们看hx_user

关注到有一列是is_delete

所以查找这一列为1的数据

SELECT COUNT(*) AS deleted_count FROM hx_user WHERE is_delete = 1;

729

17. 人数最多的群组名称

法一:找到hx_group表,

找按人数降序排列

[SELECT](http://192.168.100.3:8939/phpmyadmin/url.php?url=https://dev.mysql.com/doc/refman/8.0/en/select.html) * FROM hx_group WHERE number = ([SELECT](http://192.168.100.3:8939/phpmyadmin/url.php?url=https://dev.mysql.com/doc/refman/8.0/en/select.html) [MAX](http://192.168.100.3:8939/phpmyadmin/url.php?url=https://dev.mysql.com/doc/refman/8.0/en/group-by-functions.html#function_max)(number) FROM hx_group);

法二:

到处csv后降序排列

小嘉5-300群内自动579高倍

18. 注册手机尾号为0066的用户,共有几个好友

观察数据是在前面的hx_user表中,转到该表搜索:

包含0066的数据:

找到昵称是小苹果

没用wps的原因是因为wps的昵称是乱码的

转到后台筛选小苹果

查看他的友

能看到有157条数据:

19. 注册手机尾号为0066的用户,银行卡号为

用户id为800204

在提现记录处搜索发现加密了

法一:脱敏逻辑如下(/www/wwwroot/huaxi/adm_hx_s/include/class/user.php

1
Mysql::insert( '#@__user_bank', [ 'user_id' => $uid, 'code' => $field[ 'code' ], 'bank' => $bank[ 'name' ], 'number' => Common::sensitive( $field[ 'number' ], '****', 4, strlen( $field[ 'number' ] ) - 7 ), 'number_md5' => Common::getMD( $field[ 'number' ] ), 'number_rsa' => Rsa::publicEncrypt( $field[ 'number' ] ), 'mobile' => Common::sensitive( $field[ 'mobile' ], '', 3, 4 ), 'mobile_rsa' => Rsa::publicEncrypt( $field[ 'mobile' ] ) ] );

转到加密函数adm_hx_s/include/ajax/obtain.php

将这里的加密算法改掉

获取rsa私钥解密即可

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
if ( $_GET[ 'category' ] == 'withdraw' ) {
  // 合并处理bank和xpay渠道
  if ( in_array( $lt[ 'channel' ], [ 'bank', 'xpay' ] ) ) {
    $auth = Mysql::get( '#@__user_auth', 'user_id', [ $lt[ 'user_id' ] ], 'name' );
    // 修改1:获取加密的完整卡号(number_rsa字段)
    $bank = Mysql::get( '#@__user_bank', 'id', [ $lt[ 'bank_id' ] ], 'bank,number_rsa' );
    $lt[ 'name' ] = $auth[ 'name' ];
    if ( !empty( $bank ) ) {
      // 修改2:使用RSA私钥解密获取完整卡号
      $full_number = Rsa::privateDecrypt( $bank[ 'number_rsa' ] );
      // 修改3:显示完整卡号
      $lt[ 'account' ] = $bank[ 'bank' ] . '-' . $full_number;
    } else {
      $lt[ 'account' ] = '已删除';
    }
  }
}

这个时候再回去搜就可以看到了

6221505921000071418

法二:

全局搜索:正则表达式搜能直接搜出来

常见的银行卡位数一般是16或是19位,除去前后7位,剩下9或12位,对应的正则表达式是:

6221(\d{9}|\d{12})418

你直接问ai可能会返回给你这个式子^6221.{14}418$,这是匹配整行的(即前后没有其他字符的)

新增一条正则表达式:

就可以搜了,结果如下

6221505921000071418

20. 注册手机尾号为0066的用户,共充值多少元

法一:首先导出

求和即可

510000

法二:转到hx_log_deposit表中

求和:

SELECT SUM(money) AS total_money FROM hx_log_deposit WHERE user_id = 800204;

510000