2024盘古石杯复盘

毛雪柳部分

PC

1.分析毛雪柳的计算机检材，计算机插入三星固态盘的时间是：[答案格式：2024-01-01-04-05-06] [★☆☆☆☆]

2024-04-25-19-08-08

2.分析毛雪柳的计算机检材，计算机操作系统当前的Build版本是：[答案格式：17786] [★☆☆☆☆]

19045

3.分析毛雪柳的计算机检材，团队内部使用的即时通讯软件在计算机上存储日志的文件名是：[答案格式：log.log，区分大小写] [★☆☆☆☆]

main.log

仿真后在快速访问中可以找到

4.分析毛雪柳的计算机检材，伏季雅一月份实发工资的金额是：[答案格式：1234] [★★★☆☆]

11200

在仿真pc中可以找到账本.xlxs,但是有密码，可以在毛的手机中找到密码截图

打开可以查看

5.分析毛雪柳的计算机检材，该团伙三月份的盈余多少：[答案格式：1234] [★★★☆☆]

158268

上题中账本.xlxs可以找到

手机

1.分析毛雪柳的手机检材，手机中有一个记账APP，该APP的应用名称是：[答案格式：Telegram，区分大小写]

[★☆☆☆☆]

iCost

2.分析毛雪柳的手机检材，记账APP存储记账信息的数据库文件名称是：[答案格式：tmp.db，区分大小写] [★★★★☆]

default.realm

查询可知Realm为数据库

3.分析毛雪柳的手机检材，记账APP中，2月份总收入金额是多少：[答案格式：1234] [★★★★★]

11957

使用Realm studio打开数据库，观察可知type=1表示收入

将时间戳进行转换可以知道，第4条和第5条为2月的记录一共收入9600+2357=11957

4.分析毛雪柳的手机检材，手机中团队内部使用的即时通讯软件中，团队老板的邮箱账号是：[答案格式：abc@abc.com] [★★★☆☆]

gxyt@163.com

综合分析可知团队内部使用的即时通讯软件为mattermost，可以看到共享群组路径

在其中可以找到数据库，导出

分析roles可知gxyt为团队老板

5.接上题，该内部即时通讯软件中，毛雪柳和老板的私聊频道中，老板加入私聊频道的时间是：[答案格式：2024-01-01-04-05-06] [★★★☆☆]

2024-04-24-11-59-28

先在channelinfo中找到私聊频道的id

再去post表中查询即可找到“gxyt joined the channel.”再把时间戳转换即可。

6.接上题，该私聊频道中，老板最后一次发送聊天内容的时间是：[答案格式：2024-01-01-04-05-06] [★★★☆☆]

2024-04-25-10-24-50

伏季雅部分

手机

1.分析伏季雅的手机检材，手机的安卓ID是：[答案格式：小写字母和数字] [★☆☆☆☆]

9e6c9838dafe7ba0

2.分析伏季雅的手机检材，手机型号是：[答案格式：HUAWEI-FL56T] [★☆☆☆☆]

SM-G996N(同上图)

3.分析伏季雅的手机检材，其和受害人视频通话的时间是：[答案格式：2024-01-01-04-05] [★☆☆☆☆]

2024-04-24-20-46

4.分析伏季雅的手机检材，手机中安装了一款记账APP，该记账APP存储记账信息的数据库名称是：[答案格式：abcabc，区分大小写] [★☆☆☆☆]

MoneyLoverS2

先在app列表中找到疑似记账app：Money Lover

在/data/data/com.bookmark.money/databases目录下找到数据库MoneyLoverS2

5.接上题，该记账APP登录的邮箱账号是：[答案格式：abc@abc.com] [★★★☆☆]

carleenloydlyis40@gmail.com

导出可得

6.接上题，该记账APP中记录的所有收入金额合计是：[答案格式：1234] [★★★☆☆]

279002

找到transection表，题目问的是收入，所以先在categories表找到支出和收入的区别cat_type

再在transection表中查询：

SELECT SUM(amount) FROM transactions WHERE cat_id IN (SELECT cat_id FROM categories WHERE cat_type = 1)

7.接上题，分析该记账APP中的消费记录，统计从2022-3-1（含）到2023-12-1（含）期间，用于交通的支出费用合计是：[答案格式：1234] [★★★☆☆]

6042

交通的cat_id为19

建立查询（统计从2022-3-1（含）到2023-12-1（含）期间）：

SELECT SUM(amount) FROM transactions WHERE cat_id = 19 AND created_date >= '2022-03-01' AND created_date <= '2023-12-01'

8.分析伏季雅的手机检材，手机中诈骗APP的包名是：[答案格式：abc.abc.abc，区分大小写] [★☆☆☆☆]

w2a.W2Ah5.jsgjzfx.org.cn

9.分析伏季雅的手机检材，手机中诈骗APP连接的服务器地址是：[答案格式：127.0.0.1] [★☆☆☆☆]

192.168.137.125

导出apk，Android Killer打开可以找到manifest.json

其中可以找到

10.分析伏季雅的手机检材，手机中诈骗APP的打包ID是：[答案格式：_abc_abc.abc，区分大小写] [★☆☆☆☆]

__ W2A __h5.jsgjzfx.org.cn

也在manifest.json中找到

11.分析伏季雅的手机检材，手机中诈骗APP的主启动项是：[答案格式：abc.abc.abc，区分大小写] [★☆☆☆☆]

io.dcloud.PandoraEntry

导出apk，Android Killer打开即得

PC

1.分析伏季雅的计算机检材，计算机最后一次错误登录时间是：[答案格式：2024-01-01-04-05-06] [★☆☆☆☆]

2024-04-26-16-57-58

火眼打开找到登录失败即得

2.分析伏季雅的计算机检材，计算机中曾经浏览过的电影名字是：[答案格式：《奥本海默》] [★☆☆☆☆]

《坠落的审判》

翻翻浏览器记录找到

3.分析伏季雅的计算机检材，计算机中团队内部即时通讯软件的最后一次打开的时间是：[答案格式：2024-01-01-04-05-06] [★☆☆☆☆]

2024-04-26-17-13-02

综合分析可得内部即时通讯软件为mattermost

4.分析伏季雅的计算机检材，计算机中有一款具备虚拟视频功能的软件，该软件合计播放了多少个视频：[答案格式：3] [★☆☆☆☆]

1

在Edge浏览器的历史记录中可以找到浏览过MVBOX虚拟视频播放器官网

仿真可以找到

5.接上题，该软件的官网地址是：[答案格式：https://www.baidu.com] [★☆☆☆☆]

http://www.mvbox.cn

见上图

6.接上题，该软件录制数据时，设置的帧率是：[答案格式：20] [★☆☆☆☆]

15

7.分析伏季雅的计算机检材，在团队内部使用的即时通讯软件中，其一共接收了多少条虚拟语音：[答案格式：2] [★☆☆☆☆]

4

可以在mattermost的设置中找到下载路径

查看可以发现有4个音频

义言部分

手机

1.分析义言的手机检材，手机中登录的谷歌邮箱账号是：[答案格式：abc@gmail.com] [★★☆☆☆]

a2238346317@gmail.com

2.分析义言的手机检材，手机的MTP序列号是：[答案格式：大写字母和数字] [★★☆☆☆]

FA6A80312283

3.分析义言的手机检材，除系统自带的浏览器外，手机中安装了一款第三方浏览器，该浏览器的应用名称是：[答案格式：百度浏览器] [★★☆☆☆]

悟空浏览器

4.接上题，上述浏览器最后一次搜索的关键字是：[答案格式：百度] [★★☆☆☆]

ai写文章生成器

5.接上题，该浏览器最后一次收藏的网址是：[答案格式：https://baidu.com/acc/123412341234123/] [★★★☆☆]

http://toutiao.com/a7361678286282490403/

时间降序排序即得

6.分析义言的手机检材，其所购买的公民信息数据，该数据提供者的手机号码是：[答案格式：13012341234] [★☆☆☆☆]

13265159824

在手机相册里可以找到

7.接上题，卖家的收款地址：[答案格式：小写字母和数字] [★☆☆☆☆]

bc1pvunxx2eyt0ljpzs9wp9tcrrdvssra97nnwls5463hxpf3xm69zms3yak85

见第六题图

8.接上题，购买上述公民信息，义言一共支付了多少钱：[答案格式：0.000123BTC] [★☆☆☆☆]

0.07364352BTC

题目提示用比特币格式

根据地址可以在比特币交易查询网站查得

9.接上题，该笔交易产生的手续费是多少：[答案格式：0.000123BTC] [★★☆☆☆]

0.00006105BTC

见第七题图

10.分析义言的手机检材，分析团队内部使用的即时通讯软件，该软件连接服务器的地址是：[答案格式：127.0.0.1] [★★☆☆☆]

192.168.137.97

解base64得到地址

11.接上题，该软件存储聊天信息的数据库文件名称是：[答案格式：abc.abc，区分大小写] [★★☆☆☆]

aHR0cDovLzE5Mi4xNjguMTM3Ljk3OjgwNjU=.db

见第十题

12.接上题，该即时通讯软件中，团队内部沟通群中，一共有多少个用户：[答案格式：1] [★★☆☆☆]

6

导出数据库即得

13.接上题，该即时通讯应用的版本号是：[答案格式：1.1.1] [★★☆☆☆]

2.15.0

导出apk文件放入Androidkiller即得

14.接上题，该即时通讯应用中，团队内部沟通中曾发送了一个视频文件，该视频文件发送者的用户名是：[答案格式：abc] [★★★★☆]

yiyan

在file中可以找到MP4文件

file中post_id与post中id是对应的，post表中查询id为”brryxgwf8pdzdgd46i4og17rdh”的数据

根据user_id找到发送者的用户名

15.接上题，分析该即时通讯的聊天记录，团队购买了一个高性能显卡，该显卡的显存大小是：[答案格式：20G] [★★☆☆☆]

24G

查询聊天记录可以找到一个网址

打开可以看到显卡信息

16.分析义言的手机检材，手机中装有一个具备隐藏功能的APP，该APP启动设置了密码，设置的密码长度是多少位：[答案格式：5] [★★★★☆]

012467853

在网上搜索，可以发现有对该APP的解密分析 https://theincidentalchewtoy.wordpress.com/2021/12/07/decrypting-the-calculator-apps/

可知该APP使用硬编码，密钥默认为Rny48Ni8aPjYCnUI

通过AES解密知道它的锁屏密码

17.接上题，分析上述隐藏功能的APP，一共隐藏了多少个应用：[答案格式：1] [★★★★☆]

5

导出数据库，使用秘钥Rny48Ni8aPjYCnUI打开

查询hide_app表

18.接上题，分析上述隐藏功能的APP，该APP一共加密了多少个文件：[答案格式：] [★★★★☆]

5

查询file_info表

19.接上题，分析上述隐藏功能的APP，该APP加密了一份含有公民隐私信息的文件，该文件的原始名称是：[答案格式：abc.txt] [★★★★☆]

公民信息.xlsx

见第十八题图

20.分析义言的手机检材，马伟的手机号码是：[答案格式：13012341234] [★★★★☆]

18921286666

见第十八题图

找到原始文件e-283a934b-7821-4af3-9301-2cd6bba15782+c1导出

使用cyberchef解密

存为xlsx文件，打开即得

21.分析义言的手机检材，手机中存有一个BitLocker恢复密钥文件，文件已被加密，原始文件的MD5值是：[答案格式：小写字母和数字] [★★★★☆]

337469-693121-682748-288772-440682-300223-203698-553124

思路同第二十题，导出，使用cyberchef解密

PC

1.分析义言的计算机检材，计算机连接过的三星移动硬盘T7的序列号是：[答案格式：大写字母和数字] [★☆☆☆☆]

ST6WTNS0RBD2721X

火眼查到的是倒序的（队友用的是盘古石的软件，查到是ST6WTNS0RBD2721X）

2.分析义言的计算机检材，计算机的最后一次正常关机时间是：[答案格式：2024-01-01-04-05-06] [★☆☆☆☆]

2023-04-28-18-51-56

3.分析义言的计算机检材，曾经使用工具连接过数据库，该数据库的密码是：[答案格式：admin] [★☆☆☆☆]

root

（印证了手机第10题）

4.分析义言的计算机检材，计算机中安装的xshell软件的版本号是：[答案格式：Build-0000] [★☆☆☆☆]

Build-0157

打开bitlocker后验证

5.分析义言的计算机检材，曾使用shell工具连接过服务器，该服务器root用户的密码是：[答案格式：admin] [★★★☆☆]

root

打开bitlocker后，重新分析检材

6.分析义言的计算机检材，计算机曾接收到一封钓鱼邮件，该邮件发件人是：[答案格式：abc@abc.abc] [★★☆☆☆]

838299176@qq.com

7.接上题，钓鱼邮件中附件的大小是多少MB：[答案格式：12.3] [★★☆☆☆]

2.4

8.接上题，上述附件解压运行后，文件的释放位置是：[答案格式：D:\Download\test] [★★☆☆☆]

C:\Windows\Temp

9.接上题，恶意木马文件的MD5 值是：[答案格式：小写] [★★☆☆☆]

1877379d9e611ea52befbbe2c2c77c55

10.接上题，恶意木马文件的回连IP地址是：[答案格式：127.0.0.1] [★★☆☆☆]

11.分析义言的计算机检材，计算机中保存的有隐写痕迹的文件名：[答案格式：abc.abc] [★★★☆☆]

a78bd8b5bec5f60380782bd674c7443p.bmp

解密加密分区后，回收站会发现多出来一个LSB_hide

搜索后发现是一个bmp图片隐藏工具

搜索bmp

12.分析义言的计算机检材，保存容器密码的文件大小是多少字节：[答案格式：123] [★★★☆☆]

20

解密分区后，找到vc加密容器

使用Extract内的密码，可以成功挂载vc容器

查看Extract大小

13.分析义言的计算机内存检材，该内存镜像制作时间(UTC+8)是：[答案格式：2024-01-01-04-05] [★★☆☆☆]

14.分析义言的计算机内存检材，navicat.exe的进程ID是：[答案格式：123] [★★☆☆☆]

服务器部分

IM服务器

1.分析内部IM服务器检材，在搭建的内部即时通讯平台中，客户端与服务器的通讯端口是：[答案格式：8888] [★☆☆☆☆]

8065

docker ps

2.分析内部IM服务器检材，该内部IM平台使用的数据库版本是：[答案格式：12.34] [★★☆☆☆]

12.18

查看docker环境变量

docker inspect 64 | grep -i 'env' -C 10

同时在这里得到了服务器主机ip：172.17.0.1和本地分配的ip：192.169.80.130

在前面可以知道主机的用户名：root，密码：123456（原来为root，仿真后自动修改了）

以及数据库的用户名：mmuser，密码：mostest

可以使用navicat通过ssh远程连接

连接成功进入数据库

3.分析内部IM服务器检材，该内部IM平台中数据库的名称是：[答案格式：小写] [★★☆☆☆]

mattermost_test

见第二题图

4.分析内部IM服务器检材，该内部IM平台中当前数据库一共有多少张表：[答案格式：1] [★★☆☆☆]

82

进入数据库后，查看user表，发现密码是bcrypt加密

修改为123456

5.分析内部IM服务器检材，员工注册的邀请链接中，邀请码是：[答案格式：小写数字字母] [★★★☆☆]

54d916mu6p858bbyz8f88rmbmc

登录gxyt账户(管理员)可以看到

6.分析内部IM服务器检材，用户yiyan一共给fujiya发送了几个视频文件：[答案格式：数字] [★★★☆☆]

2

登录yiyan的账户可以看到

7.分析内部IM服务器检材，用户yiyan在团队群组中发送的视频文件的MD5值是：[答案格式：小写] [★★★☆☆]

f8adb03a25be0be1ce39955afc3937f7

下载查询

cmd命令

8.分析内部IM服务器检材，一个团队中允许的最大用户数是：[答案格式：数字] [★★★★☆]

50

登录gxyt的账号，在系统控制台可以看到

9.分析内部IM服务器检材，黑客是什么时候开始攻击：[答案格式：2024-01-01-04-05] [★★★☆☆]

2024-04-25-15-33

2024-04-25 07:33:20.003 Z

Z:表示UTC时间，转换为北京时间要加8小时

查看服务器日志可以看到黑客对服务器密码进行爆破

网站服务器

1.分析网站服务器检材，网站搭建使用的服务器管理软件当前版本是否支持32位系统：[答案格式：是/否] [★☆☆☆☆]

否

分析检材发现宝塔

仿真登录，按照宝塔面板的常规操作

bt 5 # 修改密码
bt 14 # 显示默认信息

浏览器访问，发现是宝塔开心版

2.分析网站服务器检材，数据库备份的频率是一周多少次：[答案格式：1] [★★☆☆☆]

1

在Linux系统中，crontab 是一个用于设置周期性被执行的任务的命令。crontab -l 命令用于列出当前用户所有的 crontab 文件中的任务。

crontab -l

0 0 * * 0 /root/backup.sh表示每个星期日的00:00:00执行一次，所以每周一次

3.分析网站服务器检材，数据库备份生成的文件的密码是：[答案格式：admin] [★★☆☆☆]

IvPGP/8vfTLtzQfJTmQhYg==

备份文件为DES3加密，密码为$AES_PASS的值，是使用OpenSSL生成一个的AES-256加密的值

使用OpenSSL再生成一次密码即可

4.分析网站服务器检材，网站前台首页的网站标题是：[答案格式：百度] [★★★☆☆]

5.分析网站服务器检材，受害人第一次成功登录网站的时间是：[答案格式：2024-01-01-04-05] [★★★☆☆]

6.分析网站服务器检材，前台页面中，港澳数字竞猜游戏中，进入贵宾厅最低点数是：[答案格式：1234] [★★★☆☆]

7.分析网站服务器检材，受害人在平台一共盈利了多少钱：[答案格式：12] [★★☆☆☆]

8.分析网站服务器检材，网站根目录下，哪个路径存在漏洞：[答案格式：/Admin/User/register.php] [★★★☆☆]

9.分析网站服务器检材，黑客通过哪个文件上传的木马文件：[答案格式：test.php] [★☆☆☆☆]

10.分析网站服务器检材，木马文件的密码是：[答案格式：123] [★☆☆☆☆]

人工智能部分

1.分析义言的计算机检材，一共训练了多少个声音模型：[答案格式：123] [★★☆☆☆]

4

GPT-SoVITS-beta0217是AI语音合成项目

训练的模型会留下日志，所以总共训练了4个

2.分析义言的计算机检材，声音模型voice2，一共训练了多少条声音素材：[答案格式：123] [★★☆☆☆]

17

3.分析义言的计算机检材，声音模型voice3，一共训练了多少轮：[答案格式：123] [★★★☆☆]

8

4.分析义言的计算机检材，声音克隆工具推理生成语音界面的监听端口是：[答案格式：1234] [★★★★☆]

9874

执行go-webui.bat启动项目

运行在9874端口

5.分析义言的计算机检材，电脑中视频文件有几个被换过脸：[答案格式:10] [★★★★★]

6.分析义言的计算机检材，换脸AI程序默认换脸视频文件名是：[答案格式：test.mp4] [★★☆☆☆]

target-1080p.mp4

该软件的默认视频文件夹是videos

7.分析义言的计算机检材，换脸AI程序默认换脸图片的文件名称：[答案格式：abc.abc] [★★☆☆☆]

fc3d6cb14c0d4e52adcf8717f2740b5c.jpeg

换脸图片文件在faces目录

8.分析义言的计算机检材，换脸AI程序模型文件数量是多少个：[答案格式：10] [★★☆☆☆]

15