总结： FIC决赛的时候，很多小问题没发现，在pve平台做题确实很方便。

这套题目复盘完，服务器这块的知识确实收获了很多，对pve集群平台和网络拓扑也有了一定的认识，感谢各位大佬悉心指导。

接下来，我的博客停更半年，好好准备考试了。

参考文章：

https://mp.weixin.qq.com/s?__biz=Mzk0MTQzNjIyNg==&mid=2247491724&idx=1&sn=f742abe5729e1298e54593a377b24abd&chksm=c2d0dca1f5a755b71562fbb582b353c829f630c95f49b8789e7adf71576fe5089d7898858d91&scene=178&cur_album_id=2750321071282929668#rd

案件背景:

2023年3月15日凌晨,受害人短视频平台上看到一段近期火爆的交通事故视频，留言后有人通过私信联系，称有一个赚大钱的机

会，该人自称李某，提议让他到他们平台充值做代理；最终受害人发现自己被卷入了一个复杂的网络传销犯罪活动中，从而报案。

经过一段时间的侦查，2023年3月25日，警方最终锁定了"lalala李"网络水军团伙的技术人员卢某，一举拿下了卢某的住所；当天

上午,警方开始对卢某某的个人计算机进行现场勘验。在管理工具历史记录中,发现了大量访问某个PVE云服务器控制台的记录。初步判

断该云服务器可能为该团伙网络引流的主要平台。

经过进一步追查,警方发现该PVE云服务器租用于某知名云服务商,服务器上运行着数个不同的虚拟机实例；平台通过虚拟软件模

拟多部手机,利用网络水军的力量在各大平台发布伪造的图片传播负面新闻,引流受害者加入平台。

在深入分析虚拟机镜像后，警方终于发现这些虚拟机背后运行着一个复杂的网络传销平台！最终,警方展开了一场声势浩大的收

网行动,成功捣毁了该犯罪团伙。案件中的主要成员李安弘、卢某某等人均被依法逮捕。

接下来,我们将深入分析关键证据镜像文件,揭开这个庞大网络传销窝点的犯罪事实。

检材情况：

1、卢某个人计算机—PersonalPC.E01， MD5:6ee6056aaf226c019426c468c0d3bc7b

2、PVE服务器调证镜像1—sys.E01， MD5:31eaaa81bac66fefaa2ea1782c5c047b

3、PVE服务器调证镜像2—data.E01， MD5:9c8086f0763e46b28ff4e5924fe3245d

vc容器挂载密码：

<code>2024Fic~Competition~Finals@杭州&Powered~By~HL!

网络拓扑：

计算机介质部分：请分析某个人计算机PersonalPC.E01并回答下列问题

1.请分析卢某的计算机，并计算原始检材的SHA256值。

2024FIC计算的SHA256

<code>484117F3002E5B876C81DD786F899A439514BB0621D62D58F731E5B344DB3634

2.嫌疑人回收站中的"备忘录.txt"文件SHA1 值为？

找到回收站的文件计算SHA1

对源文件进行计算SHA1

<code>FDED9342533D92FA46FC4AABD113765A7A352CEB

3.嫌疑人使用ssh连接工具，该工具的名称为？【答案格式:fic123】

从回收站还原出文件，可以看到mobaxterm的密码，放到火眼证据分析里面

火眼可以直接分析看出来

或者可以登录上mobaxterm

看界面就知道是ssh连接工具了

<code>mobaxterm

4.嫌疑人使用ssh连接工具，其中连接名为node的连接记录，连接的端口为？【答案格式:123】

界面可以看到192.168.71.100是连接名为node的，用户名为droid

<code>122

5.在2024-03-12 17:13左右，嫌疑人计算机最少连接了__台安卓虚拟机。【答案格式:1】

右下角时间显示17时12分，可以看到同时开了五部安卓虚拟机

<code>5

6.软件“QtScrcpy”的配置文件显示，嫌疑人配置了__台安卓虚拟机（以连接端口计数）。【答案格式:123】

C:\Users\Luck\Documents\QtScrcpy-win-x64-v2.2.0\config\userdata.ini文件

这后面的应该是端口号

%3A是 : 的url编码

<code>15

7.嫌疑人桌面文件"老婆.png"的SHA256哈希值为？【答案格式:abc123】

找到图片

计算SHA256

<code>02139BF305630CEFFADD6926C202BAE655C79D25A64F5C7A1C62BC4C91C9CCF1

8.嫌疑人把xls文件藏入老婆.png中，该xls的密码为？【答案格式:Abc123】

xls文件头为D0CF11E0，可以把文件用010 editor进行分离出来

<code>foremost -T 老婆.png

对老婆.png文件进行分离

把output文件夹复制出来，对ole后缀文件改为xls

根据备忘录提示，对密码进行爆破

用passware kit爆破，相对来说设置比较方便，但是爆破时间比较长

<code>P1ssw0rd

9.嫌疑人桌面"2024年3月13日星期三 日报.docx"文档密码为？【答案格式:Abc123】

passware kit 爆破设置

密码为P1ssw1rd

<code>P1ssw1rd

10.嫌疑人使用的AI软件名称为？【答案格式:abc-df-abc】

可以看到最近访问的项目

里面有这个stable-diffusion-webui，是网上比较有名的AI软件了

<code>stable-diffusion-webui

11.嫌疑人使用的AI软件监听端口为？【答案格式:1】

直接找浏览记录

<code>7860

12.AI软件安装目录下的“2024-03-13”目录，其中由AI生成的图片有多少张?【答案格式:1】

txt2img-grids和txt2img-images，这两个都是AI模型生成的输出目录

C:\Users\Luck\AppData\Local\stable-diffusion-webui\output\txt2img-grids\2024-03-13

这个目录下一共是4张图片，以png,jpg两种格式用网格排版展示了40张图片

C:\Users\Luck\AppData\Local\stable-diffusion-webui\output\txt2img-images\2024-03-13

一共是41张图片，和上面的进行比较发现第一张图片是混淆进去的

<code>41

13.嫌疑人使用Ai软件生成燃烧的汽车图片使用的模型SHA256哈希值为？

题目问的是燃烧的汽车图片使用的模型

在png的IHDR的信息中有model信息

去model文件夹下面找对应的模型

<code>22E8515AA5985B776AFC1E48647F23F5651A317D2497A91232D03A1C4FEEAE2C

14.嫌疑人使用Ai软件生成燃烧的汽车图片(00036-957419862.png)使用的正向提示词，包含哪些？

A.china

B.high way

C.fast speed

D.car on fire

E.no people

查看文件的十六进制文件，里面有IHDR信息

<code>ABD

15.嫌疑人桌面文件"老婆.png"的图像生成种子是__。【答案格式:123】

<code>3719279995

PVE虚拟化平台部分：请重构虚拟化平台并回答下列问题

1.PVE虚拟化平台版本号为？【答案格式：1.1.1】

打开web界面就能看到

<code>8.1.4

2.PVE虚拟化平台的web管理地址为？【答案格式：192.168.1.1:22】

VMnet1仅主机网卡和VMnet8 NAT模式两张网卡的IP网段像这样修改

启动打开

可以直接看到web管理地址

<code>192.168.71.133:8006

这样输入会有两个问题，一个是http协议，另一个是端口号没加

进入到web管理页面了

username:root

password:123456

3.在PVE虚拟化平台中，当前共有多少个虚拟机？【答案格式：1】

调个中文简体

调下文件夹视图

<code>7

4.PVE虚拟化平台的“vmbr1”网卡所使用的网段为？【答案格式：192.168.1.0/11】

vi /etc/network/interfaces

<code>192.168.100.0/24

5.PVE虚拟化平台中”120(Luck)”虚拟机的smbios uuid为？【答案格式：123abc-123ba-123ad-23ab-12345abczc】

在网页上找找找

直接复制不了，去控制台复制

uuid=e9990cd6-6e60-476c-bd37-1a524422a9a8

<code>e9990cd6-6e60-476c-bd37-1a524422a9a8

6.在PVE虚拟化平台中，用户“Lu2k”被授予了多少个虚拟机的使用权限？【答案格式：1】

node1

node2

node3

luck

一共是四台虚拟机

<code>4

7.在PVE虚拟化平台中，shell历史命令中最后一条命令为？【答案格式：hello world】

<code>lxc-attach 110

8.请分析嫌疑人最近一次销毁虚拟机的时间为

A.2024-03-13 10:34:20

B.2024-03-22 18:06:15

C.2024-03-22 18:15:17

D.2024-03-22 18:20:55

查看pve节点的日志

<code>C

9.PVE虚拟化平台的openEuler系统镜像下载的开始时间为？

A.2024-03-12 12:03:12

B.2024-03-12 12:04:19

C.2024-03-12 12:10:09

D.2024-03-12 12:11:02

根据选项时间去找3月12日的日志进行查看

<code>B

10.根据嫌犯供述，可通过快照启动PVE虚拟化平台中的云手机。请根据该条线索找到对应虚拟机，其快照的时间

为

A.2024-03-12 11:02:32

B.2024-03-12 11:24:11

C.2024-03-13 10:34:20

D.2024-03-13 9:43:23

<code>D

软路由部分：请重构软路由环境，并回答下列问题

8u16g，记得开启虚拟化才能在虚拟机里面开虚拟机

1 软路由root用户的密码是？【答题格式：abc123】

火眼分析的时候，会有一个问你要密码的，把备忘录密码放进去。

从终端可以看到IP

192.168.71.100

那密码就是OP2024fic

<code>OP2024fic

2 软路由管理面板所用http协议监听的端口为？【答案格式：7001】

netstat -lntp

看一看uhttpd就是http服务，看到监听端口是8080，上去访问

<code>8080

3 软路由的系统版本号为？【答案格式：1.1.1】

刚启动就有

<code>23.05.2

4 软路由的WAN口所配置的网关为？【答案格式：1.1.1.1】

密码是OP2024fic

找到WAN口

<code>192.168.71.2

5 软路由防火墙端口转发规则有多少条记录【答案格式：1】

数一下

<code>17

6 OpenClash控制面板登录密钥为？【答案格式:Abc123】

<code>MCoYZFwg

7 OpenClash的局域网代理密码(SOCKS5/HTTP认证信息)为？【答题格式：Abc123】

<code>WAMqotI9

8 OpenClash的订阅地址为？【答案格式：https://www.forensix.cn】

<code>https://www.amrth.cloud/s/FnT83dutLWlF5via?clash=2

9 代理节点"香港501 中继 动态"的服务端口为？【答案格式:123】

<code>42001

10 OpenWrt的包管理软件的系统镜像源配置文件的绝对路径是？【答案格式：/root/hl/abc.conf】

查看镜像源地址配置文件

<code>/etc/opkg/distfeeds.conf

云手机部分：请还原云手机环境，并回答下列问题

这个是云手机连接的工具

计算机第5，6题也是一个提示

根据最近访问的项目，可以看到这个

这个就是云手机的连接工具了

然后根据软路由的转发规则

wan口的IP与openwrt的IP一致，为192.168.71.100

所以说可以通过外网192.168.71.100:122----->192.168.100.101:22内网

连接成功

猜测node1 node2 node3都有云手机

1.PVE虚拟化平台的虚拟机"101(node1)"的droid用户登录密码为？【答案格式:Abc123】

虽然用户droid的密码并不是对应的192.168.71.101的密码，但是可以发现droid密码都是一样，猜测为droid2024fic

成功进入

<code>droid2024fic

2.PVE虚拟化平台的虚拟机"101(node1)"中Docker容器的镜像ID的前六位为？【答案格式：abc123】

<code>起节点手机

modprobe binder_linux devices="binder,hwbinder,vndbinder"code>

modprobe ashmem_linux

docker start all

使用备注的提示命令

sudo su使用的密码就是droid2024fic

要获取Docker镜像列表中的ID，你可以使用以下命令：

<code>docker images --no-trunc

<code>d1d4bf2e59bbcb3e6d903d14ffa0bdafa100a037fdd45e9e7796778d9ff462c0

3.在PVE虚拟化平台的node1虚拟机中，容器手机的数量为？【答案格式：1】

<code>5

4.在PVE虚拟化平台的node1虚拟机中,若要启动手机容器，有几条前置命令（docker命令不纳入计算）? 【答案格

式：1】

<code>2

5.在PVE虚拟化平台的"101(node1)"虚拟机中启动“priceless_knuth”手机容器后，该安卓手机的蓝牙MAC地址是多

少？【答案格式:12:34🆎cd:a1:b2】

docker inspect 380

并没有发现“priceless_knuth”手机容器的蓝牙MAC地址

docker start 380

启动这个docker容器

根据docker信息

再根据openwrt的端口转发规则可知

<code>172.17.0.3:5555--->192.168.100.101:1111--->192.168.71.100:11111

这个是完整的端口转发的关系

无线连接，启动服务就好了

通知栏下拉有设置

选择About phone

<code>3c:5a:b4:01:02:03

6.警方现场勘验过程中，曾使用雷电手机取证软件通过嫌疑人软路由对云手机进行了远程取证，请问以下哪个端

口可以明确是取证时使用过的端口？【多选题】

A.11111

B.12222

C.13333

D.23333

E.24444

F.35555

发现node2里面有弘连取证工具

结合端口转发规则

<code>DE

7.在PVE虚拟化平台的node2中名为loving_shtern的手机映射至软路由中，所占用的端口号为？【答案格式:123】

node2直接打开是有问题的

102是有快照的，回滚快照

回滚快照有报错，打开点不动

不过这题直接看上面的历史命令

<code>25555

这个问题解决，从pve终端重启

我web界面一直没有成功

username:droid

password:droid2024fic

8.在PVE虚拟化平台的node2中loving_shtern手机容器中安装的名为“抖音”安装包的MD5值为？【答案格

式:abc123】

注意千万别用node1中的抖音apk计算，不是一个版本

看下ip和22端口是否开放

自己添加规则，去ssh连接node2

一定要点应用

ssh连接node2的配置

<code>docker start $(docker ps -a -q)

一次性启动所有容器

使用droid的管理员权限

同样的启动，然后用软件连接

docker inspect 451

<code>172.17.0.2:5555--->192.168.100.102:5555--->192.168.71.100:25555

这里可以使用adb连接，去找抖音的apk，copy下来之后计算md5

我这里使用进入docker镜像的方法

先进入/data/app/~~W_BhWcXqxofFWnwmFrhZvg==/com.ss.android.ugc.aweme-V_GSezKj2egAP31oX7Iazw==下面找到了base.apk

<code>docker cp 451a0978d664:/data/app/~~W_BhWcXqxofFWnwmFrhZvg==/com.ss.android.ugc.aweme-V_GSezKj2egAP31oX7Iazw==/base.apk .

copy下来apk再download到主机，可以用雷电进行分析，看下没下载错

<code>0ce8f95ba0401769a9f4860749cc8206

9.根据集群中手机内容分析，传销人员在评论区引流使用的qq号为？【答案格式:123】

使用安卓分析策略分析node1

<code>3791621185

10.通过云手机聊天记录可以得知，涉案传销网站域名为？【答案格式：www.forensix.cn】

查看聊天记录就好了

<code>shop.jshcloud.cn

传销网站部分：请重构网站结构，并回答下列问题

1.涉案服务器集群中，sql数据库服务器112（sqlserver）对应的虚拟磁盘的SHA256值为？

112没有被识别成嵌套证据，直接挂载分析也会报错

原因是当时打pve镜像的时候，112处于开机状态，直接pve开机也会导致112的磁盘发生变化

所以要重新开一个没有嵌套虚拟化的pve，然后把112copy下来计算

网络配置记得使用NAT模式

进web之后，发现112没有自动启动

查看/mnt/pve/local2/dump/images/112，然后下载112进行计算

<code>0a7d9f77a5903bece9290f364b410a233a8415dabb35bc1ef585d837681d44e3

2.涉案服务器集群中，数据库服务器的root用户密码加密方式为？

A.SM3

B.SHA256

C.MD5

D.Bcrypt

查看这个文件vm-112-disk-0.qcow2/分区7/etc/shadow

s

m

3

sm3

sm3加密方式

<code>A

3.涉案服务器集群中，数据库服务器的内核版本？【答案格式：1.1.1】

<code>5.10.0

4.涉案服务器集群中，Java服务器web服务监听的端口为？【多选题】

A.9030

B.9031

C.9032

D.9033

把111检材挂载上去分析

网站要启动，肯定要启动前后端，查看历史命令

看来是个java网站，去找找看jar包位置

对jinyi.web.web.jar进行逆向分析

对jinyi.api.api-1.0.0.jar进行逆向分析

jinyi.web.web.jar占用9032端口，jinyi.api.api-1.0.0.jar占用9031端口

<code>BC

5.涉案服务器集群中，数据库服务器中Docker容器的数量为？【答案格式：1】

<code>2

6.涉案服务器集群中，数据库服务器有一个mysql容器节点，该容器的ID前六位为?【答案格式：abc123】

<code>3ba5cb

7.涉案服务器集群中，数据库服务器mysql容器节点的数据库版本号为?【答案格式：1.1.1】

<code>5.7.44

8.从外部访问涉案网站"鲸易元MALL管理系统"管理后台所使用的域名为？【多选】

A.jy.proxy2.jshcloud.cn

B.master.jy.proxy2.jshcloud.cn

C.jy.proxy.jshcloud.cn

D.master.jy.proxy.jshcloud.cn

找到/mnt/pve/local2/images/110目录，下载vm-110-disk-0.raw，放到火眼进行分析

查看配置文件， vm-110-disk-0.raw/分区1/etc/nginx/nginx.conf

可以看到host配置再这个文件下

vm-110-disk-0.raw/分区1/etc/nginx/conf.d/proxy.conf

<code>BD

9.“鲸易元MALL管理系统”管理后台所使用的网站框架为？

A.TOMCAT

B.SPRING_BOOT

C.Struts

D.THINKPHP

<code>B

10.“鲸易元MALL管理系统”管理后台运行时，依赖了几种不同的数据库？【答案格式:123】

mysql和redis

<code>2

11.“鲸易元MALL管理系统”管理后台运行时，在生产环境(prod)下所连接的mysql服务器密码为？【答案格式:123】

Druid是一个高性能的实时分析数据库（column-oriented database），它专为快速的 OLAP（在线分析处理）查询而设计。Druid 能够快速处理大规模数据集，并且支持实时数据摄入，使其非常适合用于数据仓库和实时分析。

Druid是做数据库分析的

<code>honglian7001

12.“鲸易元MALL管理系统”管理后台中Aliyun OSS对应的密钥KEY是为？【答案格式:Abc123】

<code>LfA2sPaJiVW3Th32YeCN0bsD8NIjF7

13."鲸易元MALL管理系统"管理后台中，管理员（admin）的账号密码采用了什么样的加密方式？【答案格式：rc4

】(不区分大小写)

Java服务器和数据库服务器不知道密码，可以绕密，但是挺麻烦的，sqlserver绕密好像不行，我们将这两个文件拖出来做

现在开始配置网卡

仅主机模式的dhcp设置也要配置，不然ipVmnet8网卡分配不到

111网卡

没有配置网卡

vi /etc/netplan/00-installer-config.yaml

配置网卡

重新应用网卡，就有了

修改112

vi /etc/sysconfig/network-scripts/ifcfg-enp6s18

systemctl restart NetworkManager

连接112MySQL

数据库在docker里面，启动

密码是honglian7001

2

a

2a

2a是Bcrypt加密特征

<code>Bcrypt

14.“鲸易元MALL管理系统”管理后台中,管理员(admin)账号绑定的手机号码为？【答案格式:18818881888】

<code>15888888888

15.“鲸易元MALL管理系统”管理后台中,会员的数量为?【答案格式:123】

启动Java服务器的jar包命令

110是pve里面的，111和112我是拖出来的

连接到110ngnix服务器

有网卡了

但是现在110和111 112不能通信

配置好了再重启

修改本机hosts，将nginx配置文件中的server_name与容器的IP绑定

<code>192.168.100.110 info.jy.proxy2.jshcloud.cn

192.168.100.110 info.jy.proxy.jshcloud.cn

192.168.100.110 info.jy.jshcloud.cn

192.168.100.110 master.jy.proxy2.jshcloud.cn

192.168.100.110 master.jy.proxy.jshcloud.cn

192.168.100.110 jy.proxy2.jshcloud.cn

192.168.100.110 api.jy.proxy2.jshcloud.cn

192.168.100.110 jy.proxy.jshcloud.cn

192.168.100.110 api.jy.proxy.jshcloud.cn

192.168.100.110 jy.jshcloud.cn

192.168.100.110 api.jy.jshcloud.cn

生成123456的Bcrypt加密后的密码

替换掉数据库里面的

成功登录了

<code>52908

数据分析部分：请重构数据库，并回答下列问题

16.“鲸易元MALL管理系统”管理后台中,会员级别为“总代”的数量为?【答案格式:123】

<code>248

17 “鲸易元MALL管理系统”管理后台中,以“推荐人id”做为上级id对会员进行层级分析，总层级为多少层？(最高层级

视为1层)【答案格式:123】

使用网钜进行数据分析

53

18 “鲸易元MALL管理系统”管理后台中，会员编号为sgl01的下游人数(伞下会员)数量为？【答案格式:123】

使用网钜进行数据分析

18001

19 “鲸易元MALL管理系统”管理后台中，会员编号为sgl01的下游人数(伞下会员)充值总金额合计为多少元/RMB【答

案格式:123】

使用网钜进行数据分析

8704119

20 “鲸易元MALL管理系统”管理后台中，已支付订单的数量为？【答案格式:123】

<code>31760

21 “鲸易元MALL管理系统”管理后台中，已支付订单的支付总金额总计为多少元/RMB？【答案格式:123】

导出上述表格

转换为数字，求和

<code>71979976

22 “鲸易元MALL管理系统”管理后台中，在提现账号管理页面中银行卡的记录数为？【答案格式:123】

<code>6701

23 “鲸易元MALL管理系统”管理后台中，打款成功的提现记录数量为？【答案格式:123】

<code>8403

24 “鲸易元MALL管理系统”管理后台中，打款成功的提现应打款金额总计为多少元/RMB？【答案格式:123】

<code>10067655

25 “鲸易元MALL管理系统”管理后台中，拼券活动D仓位的收益率为？【答案格式:100%】

<code>8%