2025平航杯wp（+复现）

Sat, 19 Apr 2025 14:26:00 +0000

2toD和0RAYS拿下10和12名！感谢snow skipshot zhugeshi JBNRZ 等师傅

题目背景

爱⽽不得，进⽽由爱⽣恨。作为有⿊客背景的他，激发出了强烈的占有欲，虽然不能在真实物理世界成 为她的伴侣，但在虚拟世界⾥，他执着的要成为她的主宰，于是，我们的故事开始了……。⼿机，电 脑，服务器，⽊⻢，AI，Iot设备……⽆⼀幸免的都成为他的作案⼯具或⽬标，但最终在诸位明察秋毫的 取证达⼈⾯前，都⽆处遁形，作恶者终将被绳之以法。追悔莫及的他最后终于明⽩，其实真正的爱，不 是占有，⽽是放⼿！！！

2025年4⽉，杭州滨江警⽅接到辖区内市⺠刘晓倩(简称：倩倩)报案称：其个⼈电⼦设备疑似遭 ⼈监控。经初步调查，警⽅发现倩倩的⼿机存在可疑后台活动，⼿机可能存在被⽊⻢控制情况； 对倩倩计算机进⾏流量监控，捕获可疑流量包。遂启动电⼦数据取证程序。

警⽅通过对倩倩⼿机和恶意流量包的分析，锁定⼀名化名“起早王”的本地男⼦。经搜查其住所， 警⽅查扣⼀台个⼈电脑和服务器。技术分析显示，该服务器中存有与倩倩设备内同源的特制远控 ⽊⻢，可实时窃取⼿机摄像头、⼿机通信记录等相关敏感⽂件。进⼀步对服务器溯源，发现“起 早王”曾渗透其任职的科技公司购物⽹站，获得公司服务器权限，⾮法窃取商业数据并使⽤公司 的服务器搭建Trojan服务并作为跳板机实施远控。

请你结合以上案例并根据相关检材，完成下⾯的勘验⼯作。

计算机取证

1分析起早王的计算机检材，起早王的计算机插入过usb序列号是什么(格式：1)

就这一个
F25550031111202

2分析起早王的计算机检材，起早王的便签里有几条待干(格式：1)

仿真打开

5

3分析起早王的计算机检材，起早王的计算机默认浏览器是什么

Microsoft Edge

4分析起早王的计算机检材，起早王在浏览器里看

过什么小说

道诡异仙

5分析起早王的计算机检材，起早王计算机最后一次正常关机时间【格式：2020/1/1 01:01:01】

最后一次关机
2025/4/10 11:15:29

6分析起早王的计算机检材，起早王开始写日记的时间【格式：2020/1/1】

有个sandbox，进去以后看到有diary，再进去打开就可以看到日记本了

2025/3/3

7- 分析起早王的计算机检材，SillyTavern中账户起早王的创建时间是什么时候

2025/3/10 18:44:56

8分析起早王的计算机检材，SillyTavern中起早王用户下的聊天ai里有几个角色(格式：1)

4

9分析起早王的计算机检材，SillyTavern中起早王与ai女友聊天所调用的语言模型(带文件后缀)(格式：xxxxx-xxxxxxx.xxxx)

Tifa-DeepsexV2-7b-Cot-0222-Q8.gguf

刚开始写到Kobold去了。。发现模型是不对的

10分析起早王的计算机检材，电脑中ai换脸界面的监听端口(格式：80)

7860

11分析起早王的计算机检材，电脑中图片文件有几个被换过脸(格式：1)

3

12分析起早王的计算机检材，最早被换脸的图片所使用的换脸模型是什么(带文件后缀)(格式：xxxxxxxxxxx.xxxx)

排序一下，最早被换的是上面那个,在 E:\facefusion_3.1.10\facefusion_3.1.1.jobs\completed下可以找到

inswapper_128_fp16.onnx

13分析起早王的计算机检材，neo4j中数据存放的数据库的名称是什么(格式：abd.ef)

启动有密码，

学习笔记里找到账号密码

登录即可找到 graph.db

14分析起早王的计算机检材，neo4j数据库中总共存放了多少个节点(格式：1)

17088

15分析起早王的计算机检材，neo4j数据库内白杰的手机号码是什么(格式：12345678901)

MATCH (n {name: '白杰'}) RETURN n

13215346813

（X）16分析起早王的计算机检材，分析neo4j数据库内数据，统计在2025年4月7日至13日期间使用非授权设备登录且登录地点超出其注册时登记的两个以上城市的用户数量(格式：1)

不会，赛后复现
要使用联合查询多个数据库，查询代码：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


MATCH (u:User)-[:HAS_LOGIN]->(l:Login)-[:FROM_IP]->(ip:IP)
MATCH (l)-[:USING_DEVICE]->(d:Device)
WHERE
 l.time < datetime('2025-04-14')
 AND ip.city <> u.reg_city
 AND NOT (u)-[:TRUSTS]->(d)
WITH
 u,
 collect(DISTINCT ip.city) AS 异常登录城市列表,
 collect(DISTINCT d.device_id) AS 未授权设备列表,
 count(l) AS 异常登录次数
WHERE size(异常登录城市列表) > 2
RETURN
 u.user_id AS 用户ID,
 u.real_name AS 姓名,
 异常登录城市列表,
 未授权设备列表,
 异常登录次数
ORDER BY 异常登录次数 DESC;

44

17分析起早王的计算机检材，起早王的虚拟货币钱包的助记词的第8个是什么(格式：abandon)

draft

18分析起早王的计算机检材，起早王的虚拟货币钱包是什么(格式：0x11111111)

拿助记词恢复密码，然后就可以看到了
0xd8786a1345cA969C792d9328f8594981066482e

19分析起早王的计算机检材，起早王请高手为倩倩发行了虚拟货币，请问倩倩币的最大供应量是多少(格式：100qianqian)

浏览器中有sepolia.etherscan.io区块链交易网站记录，复原后搜索到qianqianbi

1000000qianqian

20分析起早王的计算机检材，起早王总共购买过多少倩倩币(格式：100qianqian)

看记录就知道了
521qianqian

21分析起早王的计算机检材，起早王购买倩倩币的交易时间是(单位：UTC)(格式：2020/1/1 01:01:01)

2025/3/24 2:08:36

AI部分

分析crack文件，获得flag1(格式：flag1{123456})
分析crack文件，获得flag2(格式：flag2{123456})
分析crack文件，获得flag3(格式：flag3{123456})
分析crack文件，获得flag4(格式：flag4{123456}) 下载里有crack.zip，打开以后就是一个AI对话界面，按道理是通过对话获得flag的，但是学长直接用一个解混淆的github项目破解出来了
https://github.com/Lil-House/Pyarmor-Static-Unpack-1shot

破解Pyarmor混淆，之后就可以看到原来的源码了

flag1{you_are_so_smart}
flag2{prompt_is_easy}
flag3{no_question_can_kill_you}
flag4{You_have_mastered_the_AI}

实际上看到源码我们也大致可以知道正解的方式应该是什么样的了，可以自行尝试

手机部分

该检材的备份提取时间（UTC）(格式：2020/1/1 01:01:01)

2024/4/15 18:11:18

分析倩倩的手机检材,手机内Puzzle_Game拼图程序拼图APK中的Flag1是什么(格式:xxxxxxxxx)

Key_1n_the_P1c

分析手机内Puzzle_Game拼图程序，请问最终拼成功的图片是哪所大学(格式：浙江大学)

直接社工过去

分析倩倩的手机检材,木马app是怎么被安装的（网址）(格式：http://127.0.0.1:1234/)

fix2_sign这个apk，弘联里看就一个网址，浏览器内网下载

http://192.168.180.107:6262/

分析倩倩的手机检材,检材内的木马app的hash是什么(格式：大写md5)

23A1527A704210A07A50161CFE79D2E8

分析倩倩的手机检材,检材内的木马app的应用名称是什么(格式：Baidu)

Google Service Framework

分析倩倩的手机检材,检材内的木马app的使用什么加固(格式：腾讯乐固)

雷电里也有，
梆梆加固

分析倩倩的手机检材,检材内的木马软件所关联到的ip和端口是什么(格式：127.0.0.1:1111)

56al 脱壳后jadx反编译

92.67.33.56:8000

该木马app控制手机摄像头拍了几张照片(格式：1)

在服务器里面，见服务器部分

4

（X）木马APP被使用的摄像头为(格式：Camera)

未能解出，复现见服务器部分

分析倩倩的手机检材,木马APK通过调用什么api实现自身持久化(格式：JobStore)

jobScheduler 但是这是什么呢

而且这东西很厉害，相比流氓式“进程杀活”，这个任务方案更不会被厂商杀进程策略针对

分析倩倩的手机检材,根据倩倩的身份证号请问倩倩来自哪里（格式：北京市西城区）

比赛的时候直接填杭州市滨江区了后来发现欸不对这个身份证肯定对不上啊，汗流浃背了

根据身份证查询
上海市徐汇区

（X）此手机检材的IMEI号是多少(格式：1234567890)

竟然是爆搜。。。
865372026366143

exe部分

分析GIFT.exe，该程序的md5是什么(格式：大写md5)

可以丢hashcal（取证大师）
或丢云沙箱
5a20b10792126ffa324b91e506f67223

GIFT.exe的使用的编程语言是什么(格式：C)解开得到的LOVE2.exe的编译时间(格式：2025/1/1 01:01:01)

直接梭
python

解开GIFT.exe得到病毒程序的编译时间(格式：2025/1/1 01:01:01)

要先把第一层解出来（病毒，别把自己搞了）
密码就是qianqian生日20010811

2025/4/8 09:59:40

分析GIFT.exe，该病毒所关联到的ip和端口(格式：127.0.0.1:1111)

46.95.185.222:6234

分析GIFT.exe，该病毒修改的壁纸md5(格式：大写md5)

resource hacker跑，然后导出分析

E5246DF5EC0`

“分析GIFT.exe，为对哪些后缀的文件进行加密： A.doc B.xlsx C.jpg D.png E.ppt

模拟，或者IDA逆一下ABE

分析GIFT.exe，病毒加密后的文件类型是什么(格式：DOCX文档)

.love

分析GIFT.exe，壁纸似乎被隐形水印加密过了？请找到其中的Flag3(格式：flag3{xxxxxxxx})

flag3{20241224_Our_First_Meet}

分析GIFT.exe，病毒加密文件所使用的方法是什么(格式：Base64)

同一文件夹下有一个qianqian png图片，010发现末尾有RSA私钥

RSA

分析GIFT.exe，请解密test.love得到flag4(格式：flag4{xxxxxxxx})

跑RSA脚本，RSAES-RKCS1-V1_5算法，导出文件为ppt

flag4{104864DF-C420-04BB5F51F267}

服务器部分

弱项，赛后复现中

隐水印 on Nan0inPsyLog

2025平航杯wp（+复现）

题目背景

计算机取证

1分析起早王的计算机检材，起早王的计算机插入过usb序列号是什么(格式：1)

2分析起早王的计算机检材，起早王的便签里有几条待干(格式：1)

3分析起早王的计算机检材，起早王的计算机默认浏览器是什么

4分析起早王的计算机检材，起早王在浏览器里看

5分析起早王的计算机检材，起早王计算机最后一次正常关机时间【格式：2020/1/1 01:01:01】

6分析起早王的计算机检材，起早王开始写日记的时间【格式：2020/1/1】

7- 分析起早王的计算机检材，SillyTavern中账户起早王的创建时间是什么时候

8分析起早王的计算机检材，SillyTavern中起早王用户下的聊天ai里有几个角色(格式：1)

9分析起早王的计算机检材，SillyTavern中起早王与ai女友聊天所调用的语言模型(带文件后缀)(格式：xxxxx-xxxxxxx.xxxx)

10分析起早王的计算机检材，电脑中ai换脸界面的监听端口(格式：80)

11分析起早王的计算机检材，电脑中图片文件有几个被换过脸(格式：1)

12分析起早王的计算机检材，最早被换脸的图片所使用的换脸模型是什么(带文件后缀)(格式：xxxxxxxxxxx.xxxx)

13分析起早王的计算机检材，neo4j中数据存放的数据库的名称是什么(格式：abd.ef)

14分析起早王的计算机检材，neo4j数据库中总共存放了多少个节点(格式：1)

15分析起早王的计算机检材，neo4j数据库内白杰的手机号码是什么(格式：12345678901)

（X）16分析起早王的计算机检材，分析neo4j数据库内数据，统计在2025年4月7日至13日期间使用非授权设备登录且登录地点超出其注册时登记的两个以上城市的用户数量(格式：1)

17分析起早王的计算机检材，起早王的虚拟货币钱包的助记词的第8个是什么(格式：abandon)

18分析起早王的计算机检材，起早王的虚拟货币钱包是什么(格式：0x11111111)

19分析起早王的计算机检材，起早王请高手为倩倩发行了虚拟货币，请问倩倩币的最大供应量是多少(格式：100qianqian)

20分析起早王的计算机检材，起早王总共购买过多少倩倩币(格式：100qianqian)

21分析起早王的计算机检材，起早王购买倩倩币的交易时间是(单位：UTC)(格式：2020/1/1 01:01:01)

AI部分

手机部分

该检材的备份提取时间（UTC）(格式：2020/1/1 01:01:01)

分析倩倩的手机检材,手机内Puzzle_Game拼图程序拼图APK中的Flag1是什么(格式:xxxxxxxxx)

分析手机内Puzzle_Game拼图程序，请问最终拼成功的图片是哪所大学(格式：浙江大学)

分析倩倩的手机检材,木马app是怎么被安装的（网址）(格式：http://127.0.0.1:1234/)

分析倩倩的手机检材,检材内的木马app的hash是什么(格式：大写md5)

分析倩倩的手机检材,检材内的木马app的应用名称是什么(格式：Baidu)

分析倩倩的手机检材,检材内的木马app的使用什么加固(格式：腾讯乐固)

分析倩倩的手机检材,检材内的木马软件所关联到的ip和端口是什么(格式：127.0.0.1:1111)

该木马app控制手机摄像头拍了几张照片(格式：1)

（X）木马APP被使用的摄像头为(格式：Camera)

分析倩倩的手机检材,木马APK通过调用什么api实现自身持久化(格式：JobStore)

分析倩倩的手机检材,根据倩倩的身份证号请问倩倩来自哪里（格式：北京市西城区）

（X）此手机检材的IMEI号是多少(格式：1234567890)

exe部分

分析GIFT.exe，该程序的md5是什么(格式：大写md5)

GIFT.exe的使用的编程语言是什么(格式：C)解开得到的LOVE2.exe的编译时间(格式：2025/1/1 01:01:01)

解开GIFT.exe得到病毒程序的编译时间(格式：2025/1/1 01:01:01)

分析GIFT.exe，该病毒所关联到的ip和端口(格式：127.0.0.1:1111)

分析GIFT.exe，该病毒修改的壁纸md5(格式：大写md5)

分析GIFT.exe，病毒加密后的文件类型是什么(格式：DOCX文档)

分析GIFT.exe，壁纸似乎被隐形水印加密过了？请找到其中的Flag3(格式：flag3{xxxxxxxx})

分析GIFT.exe，病毒加密文件所使用的方法是什么(格式：Base64)

分析GIFT.exe，请解密test.love得到flag4(格式：flag4{xxxxxxxx})

服务器部分