2025獬豸杯复现

本文最后更新于 2026年4月10日 晚上

一上手感觉难度比平航杯大很多,题目与题目之间没有故事线串起来,遂写一篇复现记录一下做题思路

手机取证

登录的直播 APP 的 IDX 是多少?

idx是一个用户信息,大概率会在数据库里面找到

先用火眼分析应用列表

image-20260407104923101

那么就是烟雨直播了,我们去搜索一下包的位置 data.tar/data_242/com.huodong.yanyu,我们在databases文件夹下面找到一堆数据库,这里应该是要用navicat挨个翻

在miao.db里面有一个login表,这里就有idx字段了

image-20260407105253962

目前直播的等级名称是什么?

下载一个烟雨直播不难发现IDX就是用户标识,我们可以直接通过IDX搜索到题目中的用户

image-20260407140337965

地图中哪座山有绝望坡?

第一反应是去找地图应用然后通过数据库之类的看信息,但是有三个地图应用,这个方案属实是让人望而却步了

居然是全局搜索吗,有点意思

image-20260407141554267

手机的历史 SIM 卡中,中国电信卡的 IMSI 是什么?

火眼直接出

image-20260407141635969

1 月 22 日 16:40 的会议号是多少?

找日志,日志里面有

image-20260407143447062

网易会议中个人会议号是多少?

日志里面也能找到

image-20260407144115196

记账软件中一共记了几笔?

依旧数据库

image-20260407164701338

谁给了机主 100000?

数据库有

聊天软件是否需要手机号登录?

聊天软件是盒子IM,安装发现使用用户名登录

机主给对方的活有多少钱?

在聊天软件里面找

计算机取证

网卡的 Mac 地址是什么?

image-20260407190128438

系统内部版本号是多少?

image-20260407191154539

计算机系统开机密码是什么?

在微软便签里面

分析计算机检材中手机流量包,黑客虚拟身份的密码是什么?

image-20260407194756883

分析计算机检材中手机流量包,黑客人员使用的夜神模拟器的手机型号是什么?

找到夜神的流量,ua头里面就有手机型号

image-20260407194125992

分析计算机检材中手机流量包,黑客看视频的时间是几月份?

找到抖音的流量,响应头里面有时间

image-20260407194316009

分析计算机检材中手机流量包,“天戮宇宙”出自哪个小说平台?

其实问豆包也行

在手机模拟器中勒索软件 APK 包的 sha256 值是多少?

在文档文件夹里面有一个夜神模拟器的备份,导出到本地直接解压就能出来镜像文件,我们直接导入火眼进行分析

image-20260407201417092

大概率这个就是勒索软件了,我们提取apk计算sha256即可

接上题,勒索软件的解锁密码是什么?

image-20260407201745991

反编译apk就能找到

signed_xz.exe 程序 SHA1 后 6 位是什么?

在E盘可以找到一个叫beifen的文件,桌面又提示新建文本文档.txt是容器密码,我们直接导出来用veracrypt挂载

image-20260407202312528

服务器取证

首先是k8s的重建,我们对三个镜像都仿真,查看ip信息

image-20260410174404121

修改虚拟网卡

image-20260410174436098

把三个服务器都配置上这个网卡

查看集群节点运行状态

1
kubectl get nodes

image-20260410174557541

原来是证书过期了,我们在火眼仿真的时候就修改时间问2025-2-1

image-20260410174646189

也是成功跑起来了

该集群主节点操作系统版本是什么?

这个用火眼就能看

该集群创建时间(GMT)是什么时候?

1
kubectl get namespace default -o yaml

image-20260410174806328

该集群共有多少个命名空间?

1
kubectl get namespaces

image-20260410174934222

该集群所有命名空间内总共有多少个 pod?

接下来需要修复两个node节点才能获取到全部的pod信息

查看node1节点的kubelet服务状态

1
sudo systemctl status kubelet -l

image-20260410180658642

看一下日志,报错是 kubelet 不能在开启 SWAP 的情况下运行:

1
sudo journalctl -u kubelet -f

image-20260410180907580

通过 swapoff -a 指令关闭 SWAP. 再启动 kebulet 服务

image-20260410181135671

回到k8s-master看看

image-20260410181317356

下面我们同样的步骤修复node2

查看多少pod

1
kubectl describe pod --all-namespaces | grep -e "^Name:" | wc -l

image-20260410200606313

该集群所使用的 cni 网络插件及其版本是什么?

在 pod 信息中查找”cni-plugin”:

1
kubectl describe pods --all-namespaces | grep cni-plugin

image-20260410201057436

打金平台的后台登录地址跳转文件是什么?

我们在火眼里面发现两个节点服务器分别有两个网站,我们启动宝塔面板

image-20260410205714695

这里有个坑,要启动一下宝塔里面的nginx服务

修改一下host文件,让url被解析到指定ip上,hosts文件位置在C:\Windows\System32\drivers\etc目录下面

1
2
3
4
192.168.2.201   www.jiaoyoumf0up.com
192.168.2.201   www.jiedai0rmr.com
192.168.2.200   www.gsjksu2kig.com
192.168.2.200   www.mtbtsdafda.com

现在我们就能打开这四个网站了,下面我们看一下网站的日志,找到管理后台的位置

我们发现了在http://www.mtbtsdafda.com/的日志里面有这样一条记录

image-20260410210012292

我们访问一下,果然重定向到了打金平台的后门

打金平台密码加密算法是什么?

我们在www.mtbtsdafda.com的目录下搜索password

image-20260410210448037

打金平台中“13067137585”用户的累计产量是多少?

这里我们先看一下数据库

image-20260410212956419

应该就是这个了,同样我们启动一下MySQL,在本地用navicat连接

image-20260410213122239

image-20260410213135806

数据库里面我们发现了两个表,一个是管理员表一个是用户表

image-20260410213255303

数据库里面好像找不到累计产量,我们试着登录进去,但是根据上题,这里的密码是sha1加密的,我们去计算一下123456的sha1然后替换这里的密码

image-20260410213537410

打金平台会员组最高溢价比例是多少?

打金平台会员推广人数最多的会员姓名是什么?

打金平台最早一次备份数据库的时间(Asia/Shanghai)是什么时候?

登录管理员后台就能找到

2025獬豸杯复现
https://www.sunynov.top/2026/04/07/2025獬豸杯复现/
作者
suny
发布于
2026年4月7日
许可协议