2020年第六届 美亚杯电子取证 团体赛 wp
一、案情简介
你的电子数据取证调查结果发现一个国际黑客组织牵涉这宗案件。经深入调查后,调查队伍相信该黑客组织入侵了一个名为Zello的本地网上商店官网,黑客组织也针对另一家网上商店Xeno发动网络攻击,使其系统产生故障。调查期间发现三名男子: 张伟华、冯启礼及罗俊杰疑与该案有关。警方在搜查他们的住宅及公司后扣押了数十台电子设备。请分析电子数据证据并重建入侵痕迹。
二、检材
- 由Zello提供的数据 1-21 Zello 21
| 编号 | 详情 | 档案路径 |
|---|---|---|
| 1 | Zello服务器的镜像文件 | /Meiya Cup 2020/Image/Zello-onlineshop webserver/Zello-onlineshop webserver.e01 |
- 由Xeno提供的数据 22-28 Xeno 7
| 编号 | 详情 | 档案路径 |
|---|---|---|
| 1 | Xeno 提供的web服务访问日志 | /Meiya Cup 2020/Image/xeno access.log_20200929-20201006.zip |
- 与张伟华有关的资料 29-74 Bob 46
| 编号 | 详情 | 档案路径 |
|---|---|---|
| 1 | 证物照片 | /Meiya Cup 2020/Photo/Bob |
| 2 | 一部桌上计算机的镜像文件 | /Meiya Cup 2020/Image/Bob/Bob Desktop |
| 3 | 一部笔记本计算机的镜像 | /Meiya Cup 2020/Image/Bob/Bob laptop |
| 4 | 从路由器提取的存取日志及原则 | /Meiya Cup 2020/Image/Bob/Router Log.xlsx |
| 5 | 一部iMac的镜像文件 | /Meiya Cup 2020/Image/Bob/Bob iMac_OS /Meiya Cup 2020/Image/Bob/Bob_iMac |
| 6 | iPhone的镜像文件 | /Meiya Cup 2020/Image/Bob/Bob IPHONE 5/UFED Apple iPhone 5 (A1429) 2020_10_05 (001).zip |
| 7 | 安卓手机的镜像 | /Meiya Cup 2020/Image/Bob/Bob S2/DumpData.bin |
| 8 | 调查报告 | /Meiya Cup 2020/调查报告/案件调查报告- 被捕人张伟华 (Bob).docx |
- 与冯启礼有关的资料 75-126 Cole 52
| 编号 | 详情 | 档案路径 |
|---|---|---|
| 1 | 证物照片 | /Meiya Cup 2020/Photo/Cole |
| 2 | 一部桌上计算机的镜像文件 | /Meiya Cup 2020/Image/Cole/Cole_Desktop/Cole_Desktop.e01 |
| 3 | Raspberry Pi 4的镜像文件 | /Meiya Cup 2020/Image/Cole/Cole_PI/COLE_PI.e01 |
| 4 | 网络储存装置的镜像文件 | /Meiya Cup 2020/Image/Cole/Cole NAS/Cole_NAS.e01 |
| 5 | 笔记本计算机的内存镜像文件 | /Meiya Cup 2020/Image/Cole/Ram dump from Cole/coleramdump.mem |
| 6 | 笔记本计算机的镜像文件 | /Meiya Cup 2020/Image/Cole/Cole Laptop |
| 7 | 手机的镜像文件 | /Meiya Cup 2020/Image/Cole/Cole_Nexus 5/blk32_mmcblk0rpmb.bin |
| 8 | 调查报告 | /Meiya Cup 2020/调查报告/案件调查报告- 被捕人冯启礼 (Cole).docx |
- 与罗俊杰有关的资料 127-140 Daniel 14
| 编号 | 详情 | 档案路径 |
|---|---|---|
| 1 | 证物照片 | /Meiya Cup 2020/Photo/Daniel |
| 2 | 一部桌上计算机的镜像文件 | /Meiya Cup 2020/Image/Daniel/Daniel_Desktop/Daniel_Desktop.e01 |
| 3 | Macbook Pro的镜像文件 | /Meiya Cup 2020/Image/Daniel/Daniel_Macbook/Daniel_Macbook.e01 |
| 4 | 手机的镜像文件 | /Meiya Cup 2020/Image/Daniel/Daniel_iPhone/iPhoneBackup.tar |
| 5 | 调查报告 | /Meiya Cup 2020/调查报告/案件调查报告- 被捕人罗俊杰 (Daniel).docx |
三、题目
Zello
1.Zello服务器的哈希值(SHA256)是甚么?
A:ACC956EEE5121EDC2F9DC19ACFC8720E443810CBC5B83128EC62F9F4AAEA30B8;
B:30B856EEE5121EDC2F9DC19ACFC8720E443810CBC5B83128EC62F9F4AAEAACC9;
C:ACC930B856EEE5121EDC2F9DC19ACFC8720E443810CBC5B83128EC62F9F4AAEA;
D:56EEE5121EDC2F9DC19ACFC8720E443810CBC5B83128EC62F9F4AAEAACC930B8;
E:418856EEE5121EDC2F9DC19ACFC8720E443810CBC5B83128EC62F9F4AAEAACC6
2.卷组是何时创建的?
A:2020/09/01 10:22;
B:2020/09/02 10:22;
C:2020/09/03 05:22;
D:2020/09/03 16:22;
E:2020/09/03 10:22
使用 lvdisplay 命令(为啥是lvdisplay不是vgdisplay)
查看/etc/lvm/archive/ubuntu-vg_00000-1003936563.vg
这个记得还是lv的时间啊
还有个install安装日志
3.卷组的名称是甚么?
A:ubuntu;
B:Debian;
C:ubuntu-xp;
D:Kali-vg;
E:ubuntu-vg
4.物理卷的PV UUID是多少?
A:FF6neD-j49V-7o4g-Uugw-X;
B:IF6neD-j49V-555g-Uugw-XP;
C:EF6neO-j49V-704g-Uugw-X;
D:IF6neD-j49V-704g-Uugw-X;
E:F48neD-j49V-704g-Uugw-X
5.卷组的VG UUID是甚么?
A:AaJRmQ-tjaG-tmrX-Vnyu-xhS7-9zDttW;
B:ZaRRnQ-S7Tp-tjaG-tmr-Vnyu-xhS7-9zDttW;
C:JJJRmQ-S7Tp-tjaG-xhS7-9zDttW;
D:ZaJRmQ-S7Tp-tjaG-tmrX-Vnyu-xhS7-9zDttW;
E:Cannot be found
6.Zello服务器的Linux内核版本是甚么?
A:4.1-generic;
B:5.4.0-48-generic;
C:5.4-48-static;
D:6.4.0-generic;
E:Cannot be found
7.Zello服务器的操作系统版本是甚么?
A:20.03 LTS;
B:19.04.1 LTS;
C:18.04.1 LTS;
D:21.04.2 LTS;
E:20.04.1 LTS
8.Zello服务器的主机名是甚么?
A:zello;
B:zello-group;
C:zello-on;
D:zello-server;
E:server-zello
9.Zello服务器的计算器ID是甚么?
A:ff39cddc1d794eb6888962aafa17ab28;
B:ab28ff39cddc1d794eb6888962aafa17;
C:ff40cddc1d794eb6888962aafa17ab281;
D:df39cddc1d794eb6888962aafa17ab2B;
E:fdg39cddc1d794eb6888962aafa17ab28
机器码
10.Zello服务器中使用的wordpress版本是甚么?
A:5.4.2;
B:5.5.1;
C:5.5.0.3;
D:5.2.4;
E:2.5.5
11.Zello服务器与之同步的主机名是甚么?
A:NTP-server-based;
B:NTP-host;
C:Zello-server-host;
D:NTP-server-host-zello;
E:NTP-server-host
12.Zello服务器的时区是甚么?
A:Asia/Dhaka;
B:Asia/Hong Kong;
C:Asia/Bangkok;
D:Asia/Yangon;
E:Asia/Yekaterinburg
13.有多少个本地用户已登录到Zello服务器?
A:1;
B:2;
C:3;
D:4;
E:5
Lastlog可以看到只有一个用户登陆过
14.植入网络目录(Webdirectory)的网页壳层(Web Shell)的哈希值(MD5)是甚么?
A:FC0C5B5E56D56C6BBA6E1BAD595BECFD;
B:FC0CECFD5B5E56D56C6BBA6E1BAD595B;
C:CCFO585E56D56C6BBA6E1BAD595BFC0C;
D:ED455B5E56D56C6BBA6E1BAD595BFC8C;
E:ECFD5B5E56D56C6BBA6E1BAD595BFC0C
扫描
www\html\wordpress\wp-includes\sales\info\123.php
15.\var\www\html\wordpress\net\2020\Login\index.php’有甚么作用?
A:下载木马程序;
B:攻击目标服务器;
C:上载档案到服务器;
D:盗取资料;
E:这是个普通页面
看看有之前泄露的资料log1ns.txt、R3ZZ.txt
几个文件跳来跳去
2020-4-22植入木马123.php???(是不是改时间了
16.钓鱼网站伪装成甚么网站?
A:Yahoo;
B:Google;
C:Apple;
D:Netflix;
E:Spotify
17.下列哪个IP对Zello服务器进行了蛮力攻击?
A:213.186.93.68;
B:223.186.92.68;
C:221.186.91.68;
D:203.186.94.68;
E:203.186.90.50
只有这个IP有好多东西(hydra是九头蛇啊)
24/Sep/2020:16:57:23
2020-9-24
18.Zello Web服务器的URL是甚么?
A:http://zello-online.net/;
B:http://zello-onlineshop.com/;
C:http://zello-onlineshop.sytes.net/;
D:http://zero-onlineshop.org/;
E:http://zello-onlineshops.com/
19.LVM2容器的第一个扇区是什么?
A:2101248;
B:2100049;
C:2101250;
D:5101246;
E:210222
20.Zello服务器中LVM2容器的大小(以字节为单位)是甚么?
A:21135367167;
B:31135367168;
C:3553536000;
D:64615367165;
E:42425367164
21.在Zello服务器以及Alice的装置中可以找到甚么共同文件?
A:login.txt;
B:inter.zip;
C:R3ZZ.txt;
D:password.txt;
E:Downloads.7z
见上
Xeno
22.2020年8月29日在Xeno服务器中发现的攻击类型是甚么?
A:HTTP GET/POST Flood;
B:NTP Amplification;
C:Ping of Death;
D:SYN Flood;
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
