2024數證杯決賽團體賽wp

容器密碼：mW7@B!tRp*Xz46Y9#KFUV^J2&NqoHqTpLCE%8rvGW(AX#1k@YL3$M5!bWY*9HLFq7UZR6^T!XoVmPK28J&CY9%6(Arz#tbU4oXYKLp7Wq^FV9H

團體賽復現比較困難，目前只找到這個師傅的wp2024數證杯決賽團體 - WXjzc - 博客園，容器密碼都找了半天，才找到。比賽時和隊友三個人做了六個小時，也是很多題目都沒做出來，現在賽后幾個月嘗試一個人復現所有方向，不知道能不能堅持復現完。(開始于2025年2月16日凌晨3:30)終于寫完了，中間經歷了獬豸杯，開學后太忙了，其實早就寫的差不多了，一直擱著沒有繼續完成

請根據計算機以及內存檢材，回答以下問題： (17道題，共54.0分)

1.計算機中曾掛載的bitlocker加密的分區的驅動器號為？（答案格式：大寫字母，如C） (2.0分)

V

在這個目錄下找到兩個磁盤映像文件，一個是沒加密的，打開是X盤，一個是BitLocker加密的V盤

2.分析計算機和內存檢材，計算機中的Bitlocker加密分區的恢復密鑰后6位為？（答案格式：123456） (4.0分)

432267

不知道為什么火眼第一遍沒有找到BitLocker恢復密鑰，開了耗時任務讓他繼續跑，跑了好久，還沒出來。突然想起來比賽的時候用的是用內存鏡像來解這個BitLocker加密，當時用的efdd跑的秒出，但是當時下的官方正版，tm的不給我看恢復密鑰，要我去購買...隊友用passwarekit跑了半天終于出了，現在我用efdd也是能秒出

3.計算機中通過向日葵接收的最后一個文件名稱為？（答案格式：需帶后綴名，如Abc.doc） (4.0分)

我們走在大路上.doc

打開向日葵的歷史記錄，直接能找到

4.計算機中加密容器8df84968a5b8c4d072c4daa4fd02cb19的解密密碼為？ (2.0分)

ppnn13%323658970YYZZ

這道題比賽的時候應該沒做出來，當時有注意到同目錄下的重要信息.doc但是沒有找到密碼，說是在word文件尾有明文的密碼:ppnn13%323658970YYZZ這樣一串，但是我打開為什么密碼沒有編碼，用010editor也是亂碼，嘗試調整編碼形式也是出不來

ai可以根據16進制來識別出來

自己折騰了一個多小時，還是沒辦法直接讓編輯器自動將unicode碼轉為中文，希望有大佬能指點一下

之后換了個xways的版本，就能出了

5.接上題，計算機中曾掛載的該加密容器分區中最后訪問的文件，其文件名為？（答案格式：需帶后綴名，如Abc.doc） (2.0分)

d7ed12489b9f8b521db78d121badbe83.jpg

接上題，驗證密碼，掛載加密容器，想根據訪問時間來篩選文件，發現訪問時間都變成了掛載的時間。換個思路，發現這個加密容器的盤符是Q，我們直接搜盤符，然后根據最后訪問時間來排序

6.請找到計算機中MD5值為2EA4D8A203F6CAFBDA0F6947EE2F0FE5的文件，寫出其文件內容；（答案格式：需與實際一致，且涉及符號的部分半角全角需與實際一致） (4.0分)

好好學習！

這道題理論上，將全部的文件md5值都計算了，看哪個文件可以匹配上，但是比賽的時候這么操作好像沒有出來，看了別人的博客，發現是Good.docx這個文件，那為什么哈希值對不上呢？

才發現，這是nfs文件，軟件自動幫我們解密了，導致它的哈希值改變，所以沒有匹配的文件，以后多注意這種文件，計算它的哈希值是需要未解密的源文件的，像WXjzc師傅直接計算efs文件的哈希這是個好習慣。

7.計算機中sharisun520@hotmail.com在2010年5月11日收到的郵件附件圖片中的聯系電話為？ (6.0分)

087864898788

首先先找到這封郵件，然后導出附件

發現圖片打開不了，用010打開，發現幾乎都是亂碼，根據師傅的博客來看，圖片需要base64解碼之后再異或8，感覺有點陰啊。。。

用賽博廚子解密圖片，得到電話

8.計算機中MD5值為E653DF74D36008353C88F5A58B8F9326的文件是從哪個網址上下載的？（答案格式：http://abc/...） (1.0分)

http://suprbaydvdcaynfo4dgdzgxb4zuso7rftlil5yg5kqjefnw4wq4ulcad.onion/attachment.php?aid=3909

前面的題目已經算完了全部文件的md5值，這里直接篩選出文件，發現是torrent的后綴，直接去tor的歷史記錄里面找就行了

9.計算機中2024年11月12日 11:23:25訪問的暗網網址為？（答案格式：http://abc/...） (1.0分)

http://suprbaydvdcaynfo4dgdzgxb4zuso7rftlil5yg5kqjefnw4wq4ulcad.onion/Thread-The-Guess-The-Movie-game

也很簡單，直接找對應時間就行

10.請找到嫌疑人曾經接收的文件“DefeatedJoyousNightingale.pdf“，計算其SHA-256值；（答案格式：如遇字母全大寫） (6.0分)

B4380011D8C1E4AB6CCCA1380CE81F9B9144EA8D06E9814210D63A959B74E6E3

送分題

11.計算機中包含由兩個字母、五個數字、“CW”和四個數字組成的內容的文件名是？（答案格式：需帶后綴名，如Abc.doc） (3.0分)

CheerfulSuperDonkey.text

還得是復現，要不然這輩子都不知道為什么自己寫的正則表達式從來沒有匹配到過文件^[1]{2}\d{5}CW\d{4}$這是找ai寫的，但是發現好像實際搜索中都不用加頭和尾，只需要[A-Za-z]{2}\d{5}CW\d{4}就行了...

也是搜到了，比賽的時候跑了好久，中間還藍屏一次都沒搜到...

12.請寫出計算機中系統分區上文件系統的卷序列號；（答案格式：全部8字節，小端序，忽略空格，如FA33C08ED0BC007C） (2.0分)

D466CEF666CED7FE

搞了半天發現自己的xways沒有模板，只能直接看4個字節長度的卷序列號，找了個模板，然后注意是小端序，需要倒過來

13.計算機中最后接入的U盤的卷標名稱是什么？（答案格式：如abcd111A） (5.0分)

xing120G

在usb設備信息里面找到了這個，排序一下時間，其實不清楚什么是卷標名稱，但是這個答案格式對的上

14.計算機中程序wordpad.exe一共運行了多少次？（答案格式：請直接寫數字，如6） (1.0分)

2

15.計算機內存中正打開的圖片中的動物為？（答案格式：直接寫出動物名稱，如狗） (4.0分)

貓

要找內存中正在打開的圖片，用lovelymem看一下進程，尋找和圖片有關的進程，應該就是這個Microsoft.Phot進程了

這里根據這個文章調查取證之圖像還原 – 即刻安全，將找到的dmp文件改為data后綴，然后用gimp處理，這里用WXjzc師傅的方法來調然后用gimp來調偏移，位移看感覺調，高度設置高一點都沒啥，最關鍵的是寬度，建議從1080開始往下調，直到出現比較清晰的圖像

16.計算機內存中本地瀏覽器使用哪個端口連接到了184.30.21.38？（答案格式：純數字） (2.0分)

50391

打開lovelymem的網絡信息，直接搜ip就行了

17.計算機內存中極速瀏覽器最后瀏覽的網址的登錄密碼？（答案格式：與實際大小寫需一致） (5.0分)

Zhang333

用lovelymem打開web時間線，找到最后訪問的網站

看了別人的博客，才知道可以用passware來找網站密碼，學到了

請根據手機檢材，回答以下問題： (9道題，共34.0分)

1. 分析手機檢材，請找出嫌疑人的手機號； (2.0分)

13023161693

2.分析手機檢材，嫌疑人曾經訪問的公共服務后臺管理系統的URL是？（答題格式：https://abc/...） (4.0分)

https://ggfw.ynylbz.cn/manage/#/login?redirect=/Home

瀏覽器挺多，一個個打開來搜

3.分析手機檢材，找出嫌疑人在筆記中記錄的接頭地點；（答案格式：需與實際完全一致） (4.0分)

上海市浦東新區木蘭花路666號

首先找一下手機里面的筆記軟件，一個是自帶的，一個是后裝的，首先看后裝的

翻找數據庫，發現找不到有用的東西，去找自帶的筆記，也是沒東西。這里學習師傅的博客，通過導出apk重新安裝在模擬器，然后導入數據進行恢復app的數據，長見識了。

進入模擬器，打開文件管理，進入/data/data/包名的目錄下，發現很多都是可以對應的，比如db=databases，f=files

后面發現使用模擬器的文件管理操作不太方便，遂使用mt管理器和共享文件夾操作，一一對應就行了，同名替換，替換完成后，再打開app，就能發現里面出現了

4. 分析手機檢材，找出嫌疑人的接頭暗號；（答案格式：需與實際完全一致） (6.0分)

送你一朵小紅花(沒做出來)

接頭暗號打開是空白的，搞不明白，操作是沒錯的

5.分析手機檢材，找出嫌疑人10月23日開的騰訊會議的入會密碼； (2.0分)

201808

6.分析手機檢材，找出嫌疑人公司即將發布的新產品型號；（答案格式：需與實際大小寫完全一致） (4.0分)

AeroX-900

發現一個加密壓縮包，一定有一道題，直接爆破

7.分析手機檢材，找到嫌疑人曾經發送的項目前期資料文件，計算其SHA256；（答案格式：如遇字母全大寫） (4.0分)

2425440B48170763AEA97931D806249A298AFAC72A4BED92A6494E6789ACDA19

發現曾經發了一份資料，說是可以看文件大小，發現有454kb，但是就幾個字，肯定有問題，然后看打開word文檔也有提示存在無法打開的內容

然后解壓發現，word里面藏了一個excel文件

8.分析手機檢材，嫌疑人曾進行過一次交易，請問嫌疑人與轉賬的接收者什么時候成為好友？（答案格式：2021-01-01 01:01:01） (2.0分)

2024-10-23 15:33:22

9.分析手機檢材，寫出嫌疑人錢包賬戶的導入時間；(北京時區，答案格式：1990-01-01 01:01:01) (6.0分)

2024-11-22 17:18:30

應用列表里面找到MetaMask

然后參考師傅的博客的路徑，從files文件夾下面找到persist-root文件，搜索import time

也可以使用提到的插件，下一次試試，時間戳轉換，+8這個是對的，東八區

請根據服務器檢材，回答以下問題： (20道題，共65.0分)

1. 請寫出服務器系統內核版本；（答案格式：1.1.1-11-abcdefe） (1.0分)

6.8.0-48-generic

火眼直接看

2. 請寫出服務器的ens33網卡的ip地址； (1.0分)

10.172.29.128

3. 請寫出mysql數據庫密碼； (4.0分)

123568

雖然藏得不深，但是比賽的時候三個人都沒找到，服務器幾乎爆零...還是太菜了，當時全看桌面上面的project了，沒想到home下面還有個project。目錄下面一共三個jar包，最后一個太小了，一個個看過來

或者也可以find / -name *.jar

在jar包的配置文件里面找到了sql的密碼

檢驗一下，密碼對的

4. 后臺服務中注冊中心的服務端口是多少？（答案格式：純數字） (2.0分)

7000

這里又找到了一篇wp參考，但是只有服務器第一屆數證杯團體賽-服務器取證 | CN-SEC 中文網。有一說一，這數證杯的服務器是真難，一點思路都沒有.

在/home/project/cloud下面的日志找到了注冊中心啟動的痕跡

5. 服務器nginx日志中，哪個ip訪問系統最為頻繁?（答案格式：6.6.6.6） (6.0分)

56.111.197.176

有點逆天，本地ai直接出命令，并且能正確輸出答案

cat /var/log/nginx/access.log：讀取Nginx日志文件。

awk '{print $1}'：提取每行的第一列，即IP地址。

sort：對IP地址進行排序。

uniq -c：統計每個IP出現的次數，并在結果前加上相應的計數。

sort -nr：按IP出現次數降序排列。

head -n 1：只顯示出現次數最多的那個IP。

6. 請寫出平臺管理員密碼加密算法；（答案格式：aes） (3.0分)

md5

通過搜索關鍵詞"登錄""login""password"等能搜到登錄的源代碼，發現對密碼進行了加鹽后md5加密

7.假設某管理員密碼是123456，請問該管理員的密碼在數據庫中存儲的值是多少？（答案格式：如有字母，全大寫） (5.0分)

985EB5B028065701341A478A9215E7B2

需要先知道鹽值是多少，這里說是鹽值定義的地方

鹽值在配置文件里面

8.已知某人賣出了5.2個ETH/USDT，請問他的二級推薦人可以獲得多少個ETH傭金？（答案格式：寫出數字即可，保留小數點后5位） (6.0分)

0.00001

回看到之前導出的第三個jar包，exchange-core.jar，通過傭金定位到特定的類中，然后翻看這個類，只有一個方法名可疑，而且里面有二級推薦人的字符存在

用ai分析了一下，主要就是先進行一級推薦人的返傭，然后再進行二級推薦人的返傭，至于什么是一級推薦人，那就是他的直接推薦人，二級推薦人是推薦一級推薦人的人。但是目前沒有返傭的比例，可以去數據庫看看。在一個表里面發現two代表的是0.1，但是感覺這比例太高了，很奇怪，而且one是0.9，更奇怪了，傭金不可能這么高。想起來個人賽有一道題我算出來是17000000元禮金，這道題肯定哪里也有東西。

可以發現這個小jar包里面并沒有關于這個類的內容，是從別的地方導入進來的，然后可以去admin.jar這個包里面找到

他在使用這個two之前還進行了除以100的操作，也就是最后要乘0.001

然后我們再來看這個fee是從哪里來的，是不是就是5.2。發現上面的方法先對fee進行了處理，可以借助ai分析一下fee進行的操作

發現fee是訂單的手續費，我們需要知道coin的值是多少，就能計算最終到手的傭金是多少了

沒有找到coin的值，但是直接找到了fee的值，為0.001

總體做下來可以知道，進行幣幣轉化的總金額為5.2ETH，它手續費的費率是0.001，然后一級推薦人可以得到的傭金是手續費的0.009，二級推薦人可以得到的傭金是手續費的0.001。所以，最終結果為5.20.0010.001=0.0000052，題目要求保留5位小數，所以四舍五入

9.請找到受害人“王涵”的手機號； (1.0分)

15780139471

數據庫里面全局搜就行了

10.請寫出嫌疑人的違法交易網站的中文名稱；（答案格式：2個漢字） (3.0分)

幣嚴

查看nginx配置文件，發現監聽的是8801端口，在虛擬機里面打開網站，說是在前端/home/web里面寫死了127.0.0.1訪問后端接口

這里需要注意幾個點，一個是先在/home/project下的兩個admin和cloud需要運行一遍restart.sh腳本，以及/home/gass/Desktop/project/blockchain下需要運行start.sh腳本。

然后再打開/etc/nginx/nginx.conf文件，修改代理使其轉發到本地的6010端口，然后需要重啟nginx服務

打開網頁是這樣的，發現讓我們輸入用戶名和驗證碼，有點奇怪。

打開html源碼，發現請輸入驗證碼實際對應的是password

后面還有驗證碼的輸入框，但是被隱藏了，我們修改一下display

修改之后，就顯示驗證碼了，我們可以根據上面題目構造的密碼替換數據庫原先的密碼，然后就成功登錄了

終于，登錄進來了！

11. 請寫出數據庫中Recharge表的status字段中，0代表的中文含義； (1.0分)

未到賬

可以直接看表的注釋

12. 平臺中所有賬戶中ETH余額最多的地址是多少？（答案格式：0x123F...） (6.0分)

0x2c8d0ff224e79b296f00714933ef8be09d4d28f2

直接在后臺看發現好像大家的余額都是0不太對，既然是區塊鏈，應該不會存儲在數據庫里面，然后用ai在geth的終端里面跑了一遍腳本，出來一個地址，但是發現看的幾個博客最終數據不一樣，于是我跑了一個新的

這個最終最多的數據和這個師傅跑出來是一樣的【電子取證】2024數證杯決賽團隊賽——服務器取證 | CN-SEC 中文網，然后其他人的答案是第三個地址，我用他們給的腳本跑了，跑出來確實是第三個，這就不知道為什么了。

把它們寫的腳本丟給ai，發現應該是這個問題了，第三個地址的首個數字是9導致它會是最大的，這應該是它們腳本的問題了，所以應該是第一個地址是對的，但是第一個地址在數據庫里面找不到對應的用戶，有點奇怪了

13. 區塊鏈搭建工具是？（答案格式：abcd） (1.0分)

geth

可以在運行腳本.txt文件里面看見

14. 區塊鏈對外提供的的http端口是？ (2.0分)

8545

需要先起那個geth，然后才能看見端口，可以發現有兩個端口一個是8545端口，一個是30303端口，問問ai就行了

8545 端口：對外提供 HTTP RPC 接口，用于進行各種區塊鏈操作。
30303 端口：主要用于 P2P 網絡通信。

15. 服務器網站數據庫使用的字符集為？（答案格式：如有字母，請小寫） (1.0分)

utf8mb4

讓ai寫命令，直接去數據庫里面看

16. 由于服務器定時清理了交易數據，請找尋整個區塊鏈中最大的交易金額（答案格式：0x123F...） (6.0分)

0x960c77907381d08ecc019c0ad9d668a4bd456070f6f17ce0696d716150a50138

直接問ai，發現和他們的答案都不一樣，但是我的最大交易金額比他們的大，就不管了。然后這一題按照給的答案格式，應該是問交易哈希

然后用它們的腳本跑，發現應該也是和之前一樣的問題，它們能跑出來12ETH，也有9.512ETH，為什么最終輸出了9.512ETH呢？感覺有點像是問ai9.9和9.11哪個大的感覺，沒想到整數部分也會這樣判斷錯誤。

貼一下代碼段吧，第一個是云淡纖塵師傅的代碼，第二個是我用deepseek跑出來的代碼

var blockNumber = 1996;  // 當前最新區塊號
var maxAmount = 0;
var maxTx = null;

// 設置查詢范圍，查詢最近2000個區塊
for (var i = blockNumber; i >= Math.max(0, blockNumber - 2000); i--) {
    var block = eth.getBlock(i, true);  // true 表示獲取區塊中的所有交易
    block.transactions.forEach(function(tx) {
        var valueInEther = web3.fromWei(tx.value, 'ether');  // 將交易金額轉換為以太坊單位
if (valueInEther > maxAmount) {
            maxAmount = valueInEther;
            maxTx = tx;
        }
        console.log("交易量: " + valueInEther + " ETH, 交易哈希: " + tx.hash);  // 輸出交易量和哈希
    });
}

console.log("最大交易金額: " + maxAmount + " ETH");
console.log("最大交易的哈希: " + maxTx.hash);

// 初始化最大交易記錄
var maxTx = {hash: "", value: new BigNumber(0)};
var startBlock = 0;
var endBlock = eth.blockNumber;

// 進度跟蹤（每100個區塊輸出進度）
function scanBlocks(from, to) {
    for (let i = from; i <= to; i++) {
        var block = eth.getBlock(i, true);
        if (block && block.transactions) {
            block.transactions.forEach(tx => {
                var txValue = new BigNumber(tx.value);
                if (txValue.gt(maxTx.value)) {
                    maxTx.hash = tx.hash;
                    maxTx.value = txValue;
                }
            });
        }
        // 進度顯示
        if (i % 100 == 0) console.log("掃描進度:", i + "/" + endBlock);
    }
}

// 執行掃描
scanBlocks(startBlock, endBlock);

// 輸出結果
console.log("最大交易哈希:", maxTx.hash);
console.log("金額:", web3.fromWei(maxTx.value, "ether"), "ETH");

17.請寫出嫌疑人在chrome上使用的錢包名稱；（答案格式：如有字母全小寫） (2.0分)

metamask

直接看就行了，服務器為數不多的送分題

18. 請寫出chrome錢包插件使用的pbkdf2加密算法的輪次；（答案格式：純數字） (4.0分)

600000

第一次知道這種插件可以看前端代碼來分析，既然是看輪次，可以先看看能不能靜態分析，不行的話下斷點看看實際加密了多少次

根據返回的密碼錯誤信息來定位判斷加密的函數的位置，發現下文有pbkdf2存在

靜態看不了，下斷點看看發現params為600000

19.Chrome錢包密碼的算法中對iv的加密方式是什么？（答案格式：如有字母請小寫，如md5） (4.0分)

aes-gcm

這一題不知道是不是這樣看，這個函數name:i，然后在剛剛斷下來那里往下翻，發現也有個i：AES-GCM

20.已知服務器中嫌疑人的錢包登錄密碼為八位純數字生日1994****，請寫出該密碼； (6.0分)

19940822

剛剛斷下來，直接把那個data，iv值，輪數和salt值提取出來丟給ai，讓ai生成腳本直接跑跑看

import base64
from cryptography.hazmat.primitives.kdf.pbkdf2 import PBKDF2HMAC
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.ciphers.aead import AESGCM
from concurrent.futures import ThreadPoolExecutor
from datetime import date, timedelta

# 解碼參數（替換為實際值）
salt = base64.b64decode("fhlH2383hn7sqEKiLN8zSqv/F/v9x0s3xj/1zBI1zkA=")
iv = base64.b64decode("oi49chysOL0hAXfqbviWIA==")
data = base64.b64decode(
    "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")

def try_password(date_str):
    password = date_str.encode("utf-8")
    try:
        # 生成密鑰（PBKDF2核心步驟）
        kdf = PBKDF2HMAC(
            algorithm=hashes.SHA256(),
            length=32,
            salt=salt,
            iterations=600000  # 必須與加密時一致
        )
        key = kdf.derive(password)

        # 嘗試解密（AES-GCM驗證完整性）
        aesgcm = AESGCM(key)
        plaintext = aesgcm.decrypt(iv, data, None)
        return date_str
    except Exception as e:
        # 打印錯誤信息（調試用）
        print(f"密碼 {password} 失敗: {str(e)}")
        return None

# 生成所有可能的日期
start_date = date(1994, 1, 1)
end_date = date(1994, 12, 31)
delta = timedelta(days=1)

# 多線程加速破解
with ThreadPoolExecutor(max_workers=8) as executor:
    futures = []
    current_date = start_date
    while current_date <= end_date:
        date_str = current_date.strftime("%Y%m%d")
        futures.append(executor.submit(try_password, date_str))
        current_date += delta

    for future in futures:
        result = future.result()
        if result:
            print(f"[+] 成功破解！密碼為: {result}")
            executor.shutdown(wait=False, cancel_futures=True)
            break

比賽的時候好像是直接試的，好像也沒多少量，很快就試出來了，登錄一下驗證答案，可以進去，說明是對的