案情简介

2024年4月，卢某报案至警方，声称自己疑似遭受了“杀猪盘”诈骗，大量钱财被骗走。卢某透露，在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏，起初资金出入均属正常。但随后，李某称赌博平台为提升安全性，更换了地址和玩法，转为通过群聊抢红包形式进行赌博。随着赌资不断增加，卢某投入巨额资金后，发现无法再访问该网站，同时李某也失去联系，卢某遂意识到自己被骗。
在经济压力下，卢某选择报警，并承认参与赌博活动，愿意承担相应法律后果。警方依据卢某提供的线索和手机数据，迅速锁定犯罪团伙，并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。警方对嫌疑人持有的物品进行了证据固定：李某手机被标记为检材1，窝点内服务器为检材2，赵某使用的计算机为检材3。
接下来，请取证工作者根据案情和这些检材进行深入分析，并解答后续问题。

一、手机部分

1、嫌疑人李某的手机型号是？

B. Xiaomi MI 4

在火眼中分析到蓝牙的名称是Xiaomi MI3W

但是没有该选项，因此通过查看useragent.txt文件发现是MI 4

2、嫌疑人李某是否可能有平板电脑设备，如有该设备型号是？

Xiaomi Pad 6s

查看wifi链接记录可以发现有个小米IPad的设备

3、嫌疑人李某手机开启热点设置的密码是?

5aada11bc1b5

4、嫌疑人李某的微信内部ID是？

wxid_wnigmud8aj6j12

5. 嫌疑人李某发送给技术人员的网站源码下载地址是什么？

http://www.honglian7001.com/down

查看微信聊天记录发现发送源码的链接是一张二维码的照片

对二维码解码发现是一段谜之佛学，上网找了还竟然有这种加解密…..

6、受害者微信用户ID是？

limoon890

分析嫌疑人的微信聊天发现该人要提交押金，判断他就是受害者

7、嫌疑人李某第一次连接WIFI的时间是？

03-14 16:55:57

注意点：安卓系统必须root才可以获取这类文件信息，root之后可以使用re管理器查看这类文件，文件的路径在/data/misc/wifi，文件名为wpa_supplicant.conf用文本模式查看

8、分析嫌疑人李某的社交习惯，哪一个时间段消息收发最活跃？

16:00-18:00

查看了嫌疑人的发言记录，发现大部分时间都集中在16-18时之间

9、请分析嫌疑人手机，该案件团伙中，还有一名重要参与者警方未抓获，该嫌疑人所使用的微信账号ID为？

wxid_kolc5oaiap6z22

分析微信聊天内容，判断同伙人员有赵老五、老苏，根据案情描述，李某和赵某均已被抓获，所以剩下另一个参与者为老苏，查看老苏的微信账号ID

10、请分析嫌疑人手机，嫌疑人老板组织人员参与赌博活动，所使用的国内访问入口地址为？[格式：127.0.0.1:8080/admin]

192.168.110.110:8000/login

查看嫌疑人的聊天记录，发现对方发送了个博彩网站地址

二、服务器

1、ESXi服务器的ESXi版本为？

6.7.0

通过火绒进行仿真可以看到版本为6.7.0

2、请分析ESXi服务器，该系统的安装日期为：

2024年3月12日星期二 02:04:15 UTC

查看esxi页面信息可以看到系统安装日期

3、请分析ESXi服务器数据存储“datastore”的UUID是？

65efb8a8-ddd817f6-04ff-000c297bd0e6

4、ESXI服务器的原IP地址？

192.168.8.112

5、ESXI服务器中共创建了几个虚拟机？

4

6、网站服务器绑定的IP地址为？

192.168.8.89

使用nmap命令对存活的主机进行探测，其中8.129为kali本机，8.112为esxi服务器，8.89为网站服务器IP

7、网站服务器的登录密码为？

qqqqqq

使用Hydra对服务器密码进行爆破

8、网站服务器所使用的管理面板登陆入口地址对应的端口号为：

14131

9、网站服务器的web目录是？

/webapp

查看nginx配置文件找到网站目录

10、网站配置中Redis的连接超时时间为多少秒？

10

通过下载ruoyi-admin.jar包，使用jadx分析jar包文件夹的application.yml配置参数，看到redis链接超时时间为10秒

11、网站普通用户密码中使用的盐值为？

!@#qaaxcfvghhjllj788+)_)((

通过搜索login、password、密码等关键词定位到下图位置，发现在该方法应该是登录过程的提示，跟进UserInfoServiceImpl类

可以发现用户加密盐值为!@#qaaxcfvghhjllj788+)_)((，跟进encryPassword函数，可以看到加密方式为md5(password+salt)，所以第二个参数为盐值

12、网站管理员用户密码的加密算法名称是什么

bcrypt

输入管理员，admin，isadmin等关键词，发现SecurityUtils类下判断是否为admin

继续跟进下面的代码发现使用BCrypt进行加密

13、网站超级管理员用户账号创建的时间是？

2022-05-09 14:44:41

开启数据库服务器发现本机没有mysql，然后执行docker发现有docker命令，查看docker下面的容器看到mysql的docker容器，结合前面的宝塔面板显示的数据库账号和密码并使用navicat进行连接，在sys_user表中看到了admin账号的创建时间。

14、重构进入网站之后，用户列表页面默认有多少页数据？

877

该部分需要对网站进行重构，首先通过nginx的配置文件将域名和主机添加到hosts文件中，然后访问站点发现提示接口502错误，初步推测是后端程序未起来。

执行ruoyi-admin.jar查看nohup.out发现抱错，提示数据库错误，然后使用下面的命令提取配置文件，并会在本地生成BOOT-INF目录

1
2

java xf ruoyi-admin.jar /BOOT-INF/classes/application-druid.yml #包含MYSQL配置
java xf ruoyi-admin.jar /BOOT-INF/classes/application.yml	#包含redis配置

查看application-druid.yml的配置信息发现在数据库连接是使用127.0.0.1:3306，并且密码与宝塔的不一致，于是将连接的IP修改为192.168.8.142并将密码修改为面板中的密码。

再次执行ruoyi-admin.jar发现还是报错，在嫌疑人的电脑设备中，有一份运维笔记，上面包含了mysql、redis、以及数据库中的配置，笔记内容如下

1、ruo-yi配置

数据库IP，检查mysql连接语句

SSL报错：mysql连接语句修改成useSSL=false

redis报错：Localhost修改为127.0.0.1

Based on configured schedule, the given trigger ‘DEFAULT.TASK_CLASS_NAME105’ will never fire.

Never fire 定时任务插件执行时间问题，Sys_job表修改cron_expression 的执行时间对上年份就行

登录受限 ->检查IP黑名单

sys_config 表检查 login_ip_limit 值。

将Sys_job中的cron_expression后面的2023,2024时间删掉，再重新启动服务

发现没有502错误，验证码也显示正常，前面分析管理员是使用BC加密，所以通过替换数据库中admin的密码，即可绕过登录。

15、该网站的系统接口文档版本号为？

3.8.2

登录系统后，在系统接口查看版本号

16、该网站获取订单列表的接口是？

/api/shopOrder

17、受害人卢某的用户ID？

10044888

前面通过手机上的微信、手机号以及受害人姓卢等关键信息，在昵称处搜lu，发现下图中第一个账号符合。

18、受害人卢某一共充值了多少钱？

465,222

筛选卢某账号充值明细统计充值金额

19、网站设置的单次抽奖价格为多少元？

10

20、网站显示的总余额数是？

7354468.56

21、网站数据库的root密码是？

my-secret-pw

通过dockers inspect命令查看mysql的ROOT密码

22、数据库服务器的操作系统版本是？

7.9.2009

23、数据库服务器的Docker Server版本是？

1.13.1

24、数据库服务器中数据库容器的完整ID是？

9bf1cecec3957a5cd23c24c0915b7d3dd9be5238322ca5646e3d9e708371b765

25、数据库服务器中数据库容器使用的镜像ID？

66c0e7ca4921

26、数据库服务器中数据库容器创建的北京时间

2024/3/13 20:15:23

27、数据库服务器中数据库容器的ip是？

172.17.0.2

28、分析数据库数据，在该平台邀请用户进群最多的用户的登录IP是？

223.104.51.34

29、分析数据库数据，在该平台抢得最多红包金额的用户的登录IP是？

116.62.104.130

30、数据库中记录的提现成功的金额总记是多少？（不考虑手续费）

35821148.48

31、rocketchat服务器中，有几个真实用户？

3

使用在嫌疑人电脑上找到的聊天账号[email protected]和密码登录到rocketchat服务器中，查看后台用户有4个，其中1个为机器人。

32、rocketchat服务器中，聊天服务的端口号是？

3000

从网站的域名以及嫌疑人手机的浏览记录可以判断聊天服务的端口为3000

33、rocketchat服务器中，聊天服务的管理员的邮箱是？

[email protected]

34、rocketchat服务器中，聊天服务使用的数据库的版本号是？

5.0.24

35、rocketchat服务器中，最大的文件上传大小是？（以字节为单位）

104857600

36、rocketchat服务器中，管理员账号的创建时间为？

2024/3/14 8:19:54

查看管理员账号的创建时间，需要进入到数据库中进行查看，由于不清楚rocketchat服务器的密码，并且使用密码爆破也没有成功，所以只能通过进入单用户的方式对密码进行修改。首先要重启服务器然后按e，找到linux那行，在末尾加上 ro quiet init=bin/bash，然后使用ctrl+x进入单用户

进入单用户之后使用下面两个命令

1
2

mount -n -oo remount,rw /
passwd

重置完密码后使用SSH连接发现报错，判断是sshd_config文件有问题，在**/etc/ssh/sshd_config将PermitRootLogin的注释去掉，并且设置为yes，再使用service sshd restart**重启服务。

最后就可以使用ssh连接到服务器上。

37、rocketchat服务器中，技术员提供的涉诈网站地址是：

http://172.16.80.47

38、综合分析服务器，该团伙的利润分配方案中，老李的利润占比是多少？

35%

39、综合分析服务器，该团队“杀猪盘”收网的可能时间段为：

B.2024/3/15 16:00:00-17:00:00

40、请综合分析，警方未抓获的重要嫌疑人，其使用聊天平台时注册邮箱号为？

[email protected]

通过简要案情，我们知道赵某和李某均已经被抓获，剩下laosu仍在逃，所以其邮箱号为[email protected]

41、分析openwrt镜像，该系统的主机名为：

iStoreOS

42、分析openwrt镜像，该系统的内核版本为：

5.10.201

通过手机和电脑的检材，找到了openwrt平台的账号和密码进行登录。

或者通过命令进行查看

43、分析openwrt镜像，该静态ip地址为：

192.168.8.5

44、分析openwrt镜像，所用网卡的名称为：

eth0

45、分析openwrt镜像，该系统中装的docker的版本号为：

20.10.22

46、分析openwrt镜像，nastools的配置文件路径为：

/root/Configs/NasTools

47、分析openwrt镜像，使用的vpn代理软件为:

passwall2

48、分析openwrt镜像，vpn实际有多少个可用节点?

53

VPN节点数量显示是54，但是第一个并不是节点配置，二十整个套餐的描述，所以54-1=53

49、分析openwrt镜像，节点socks的监听端口是多少?

1070

50、分析openwrt镜像，vpn的订阅链接是:

https://pqjc.site/api/v1/client/subscribe?token=243d7bf31ca985f8d496ce078333196a

在节点下面的订阅链接可以看到VPN的订阅链接地址。

三、计算机部分

1、分析技术员赵某的windows镜像，并计算赵某计算机的原始镜像的SHA1值为？

FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD6

2、分析技术员赵某的windows镜像，疑似VeraCrypt加密容器的文件的SHA1值为？

B25E2804B586394778C800D410ED7BCDC05A19C8

使用火眼分析时，添加特征分析插件，分析完成后在加密文件处可以看到有TC容器的文件，然后对这个2024.fic文件夹计算它的SHA1值

3、据赵某供述，他会将常用的密码放置在一个文档内，分析技术员赵某的windows镜像，找到技术员赵某的密码字典，并计算该文件的SHA1值?

E6EB3D28C53E903A71880961ABB553EF09089007

4、据赵某供述，他将加密容器的密码隐写在一张图片内，隐写在图片中的容器密码是？

qwerasdfzxcv

5、分析技术员赵某的windows镜像，bitlocker的恢复密钥是什么？

404052-011088-453090-291500-377751-349536-330429-257235

6、分析技术员赵某的windows镜像，bitlocker分区的起始扇区数是：

146794496

7、分析技术员赵某的windows镜像，默认的浏览器是？

Chrome

8、分析技术员赵某的windows镜像，私有聊天服务器的密码为：

Zhao

9、分析技术员赵某的windows镜像，嫌疑人计算机中有疑似使用AI技术生成的进行赌博宣传的图片，该图片中，宣传的赌博网站地址为？

www.585975.com

10、分析技术员赵某的windows镜像，赵某使用的AI换脸工具名称为？

Roop

11、分析技术员赵某的Windows镜像，使用AI换脸功能生成了一张图片，该图片的名称为：

db.jpg

12、分析技术员赵某的Windows镜像，ai换脸生成图片的参数中–similar-face-distance值为：

0.85

13、分析技术员赵某的Windows镜像，嫌疑人使用AI换脸功能所使用的原始图片名称为：

dst01.jpeg

14、分析技术员赵某的Windows镜像，赵某与李某沟通中提到的“二维码”解密所用的网站url地址为？

hi.pcmoe.net/buddha.html

15、分析技术员赵某的Windows镜像，赵某架设聊天服务器的原始IP地址为？

192.168.8.17

16、分析技术员赵某的Windows镜像，据赵某交代，其在窝点中直接操作服务器进行部署，环境搭建好了之后，使用个人计算机登录聊天室进行沟通，请分析赵某第一次访问聊天室的时间为？

2024-03-14 20:32:08

通常为登录后在进入聊天室，但给出的答案发现只有第一次登录的时间对的上

17、分析技术员赵某的Windows镜像，openwrt的后台管理密码是：

hl@7001

查看chrome的浏览器历史记录，发现openwrt路由器设置的IP为192.168.8.5，在chrome浏览器保存的账号密码中，发现记录了账号和密码。

18、分析技术员赵某的Windows镜像，嫌疑人可能使用什么云来进行文件存储？

易有云

19、分析技术员赵某的Windows镜像，工资表密码是多少？

aa123456

在bitlock恢复

20、分析技术员赵某的Windows镜像，张伟的工资是多少？

28300