第一部分
1.操作系统版本
2.操作系统内核版本
hostnamectl
或者
/proc/version3.磁盘包含一个LVM逻辑卷,该 LVM 开始的逻辑区块地址(LBA)
开始位置=总扇区数-第二个扇区数
83,886,080-81,786,880=2099200
4.检材 1 中网站“www.kkzjc.com”对应的 Web 服务对外开放的端口是()
netstat -anp
查看开放的端口,ssh连7001,用网镜连
32000
5.所在的服务器共绑定了()个对外开放的域名
如图可见是3个
6.所在的服务器的原始 IP 地址是()
开启docker服务,查看docker日志
https://blog.csdn.net/dongdong9223/article/details/52998375
service docker start
#列出容器
docker ps
docker logs 08 (这里docker容器是08)
7.嫌疑人曾经远程登录过检材 1 所在的服务器,分析并找出其登录使用的 IP 地址是
()(并使用该地址解压检材 2)
最早的记录
192.168.99.222
8.检材 1 所在的服务器,其主要功能之一为反向代理。找出“www.kkzjc.com”转发的后台网站所使用的 IP 地址
是()(并用该 IP 地址解压检材 3)
继续进入docker查看配置
https://www.runoob.com/docker/docker-exec-command.html
192.168.1.176
9.嫌疑人曾经从题 7 的 IP 地址,通过 WEB 方式远程访问过网站,统计出检材 1 中该IP 出现的次数为
还是用本地ssh连接目标机,然后进入docker容器调取日志
https://www.cnblogs.com/flipped/p/12701238.html
docker logs 08 2>&1 | grep 192.168.99.222
数了18个
第二部分
|
liwente1314520
|
honglian7001
|
2020-09-22 11:04:32
|
进行仿真,放进取证大师
10.检材 2 的原始磁盘 SHA256 值为()
用取证大师计算感觉有点慢
[2021-10-13 18:58]
名称: C:\Users\AEQAQ\Desktop\2020长安杯取证题目\cowtransfer-file-d3c00cfb-3c7b-4fbb-a0df-08d120098117%2Fchangancup2020\检材2.E01; 设备类型: 磁盘镜像; 大小: 60.00 GB;
扇区数: 125,831,168; 计算扇区数: 125831168; 起始扇区: 0; 结束扇区: 125831167; 设备序列号: ;
SHA-256值: 2D926D5E1CFE27553AE59B6152E038560D64E7837ECCAD30F2FBAD5052FABF37
11.检材 2 所在计算机的 OS 内部版本号是()
https://jingyan.baidu.com/article/11c17a2c4bdd46b547e39d18.html
12.所在计算机最后一次正常关机的时间为()
取证大师可以直接看
13.VMware 程序的安装时间为()
最早的,2020-09-18 17:54:58
14.Vmware.exe 程序总计启动过()次
翻倒后面有6个记录所以是6次
15.嫌疑人通过 Web 方式,从检材 2 访问检材 1 所在的服务器上的网站时,连接的目标端口是()
找到刚刚服务器的ip了
8091
16.该端口上运行的进程的程序名称(Program name)为()
刚把服务器虚拟机关掉。。
netstat看一下即可
17.嫌疑人从检材 2 上访问该网站时,所使用的域名为()
www.sdhj.com
18.检材 2 中,嫌疑人所使用的微信 ID 是()
坏了,他电脑没装微信,但是看到了这个
放到火眼里面分析,是个ios
19.分析检材 2,嫌疑人为推广其网站,与广告位供应商沟通时使用的通联工具的名称为()
都可以盲猜telegram了,搞hc的
20.分析检材 2,嫌疑人使用虚拟货币与供应商进行交易,该虚拟货币的名称是()
狗狗币
21.上述交易中,对方的收款地址是()
在上面图里
DPBEgbwap7VW5HbNdGi9TyKJbqTLWYYkvf
22.上述交易中,嫌疑人和供应商的交易时间是()
23.上述交易中,嫌疑人支付货币的数量为()
24.检材 2 中,嫌疑人使用的虚拟机的虚拟磁盘被加密,其密码为()
https://github.com/axcheron/pyvmx-cracker
把虚拟机先导出来,然后本地爆破
25 检材 2 中,嫌疑人发送给广告商的邮件中的图片附件的 SHA256 值为();(忽略邮件状态)
导出邮件附件,算sha256
cc7ea3ab90ab6b28417e08c715c243ce58ea76d71fd141b93f055a58e9ba561a
26.检材 2 中,嫌疑人给广告商发送广告图片邮件的发送时间是()(忽略邮件状态)
27.嫌疑人的邮箱密码是()
28检材 2 中,嫌疑人使用了()远程管理工具,登录了检材 1 所在的服务器
Xshell6
29.检材 2 中,嫌疑人使用上述工具连接服务器时,使用的登录密码为()
xshell解密工具:https://github.com/dzxs/Xdecrypt
1.拿到sid
S-1-5-21-333529371-829162338-69828790-1001
2.找到xshell配置文件目录[C]:\Users\hl\Documents\NetSarang Computer\6\Xshell\Sessions\192.168.99.3.xsh
kRUdH8kWXkCNsoX/rbKyZYNZVbZjflCUXXqSq3vZFg+i43BdA4S1650XfUA=
解密密码
python Xdecrypt.py -s HLS-1-5-21-333529371-829162338-69828790-1001 -p "kRUdH8kWXkCNsoX/rbKyZYNZVbZjflCUXXqSq3vZFg+i43BdA4S1650XfUA="
qwer1234!@#$
第三部分
30.检材 3 的原始磁盘 SHA256 值为()
[2021-10-14 10:57]
名称: C:\Users\AEQAQ\Desktop\2020长安杯取证题目\cowtransfer-file-d3c00cfb-3c7b-4fbb-a0df-08d120098117%2Fchangancup2020\检材3.E01; 设备类型: 磁盘镜像; 大小: 40.00 GB;
扇区数: 83,886,080; 计算扇区数: 83886080; 起始扇区: 0; 结束扇区: 83886079; 设备序列号: ;
SHA-256值: FF593FCCB3770B8845A3334631F8E80807638EE722C5AA7B34E877589857C3BA
31.检材 3 所在的计算机的操作系统版本是()
32.检材 3 中,部署的网站名称是()
card
33.检材 3 中,部署的网站对应的网站根目录是()
C:\inetpub\wwwroot\v7w
34.检材 3 中,部署的网站绑定的端口是()
80
35.检材 3 中,具备登陆功能的代码页,对应的文件名为()
dllogin.aspx
36.检材 3 中,请对网站代码进行分析,网站登录过程中,代码中对输入的明文密码作了追加()字符串处理
OvO
37.检材 3 中,请对网站代码进行分析,网站登录过程中,代码中调用的动态扩展库文件的完整名称为()
38.检材 3 中,网站登录过程中,后台接收到明文密码后进行加密处理,首先使用的算法是 Encryption 中的()函数
AESEncrypt
39.检材 3 中,分析该网站连接的数据库地址为()并使用该地址解压检材4
192.168.1.174
40.检材 3 中,网站连接数据库使用的密码为()
注意用空格填充
41.检材 3 中,网站连接数据库服务器的端口是()
1433
第四部分
42.检材 4 的原始磁盘 SHA256 值为()
SHA256:E5E548CCAECD02608A0E053A5C7DCDBFBDD4BE5B0E743EB9DC8E318C369BEBC8
43.重构该网站,分析嫌疑用户的推广链接中参数里包含的 ID 是()
网站重构:
配置虚拟机静态ip https://segmentfault.com/a/1190000017535131
按照上面的文章配置静态ip没问题,但是name一定要改为ens160,这个要 ip addr命令才能看到默认的
用第二个登录
这里有几个坑:
1.登录时候查询数据库的逻辑要判断域名
所以还要更改TD_WEB这张表
2.可以通过反编译让js弹出加密后的密码
这里原来是密码错误
http://www.xxxx.com:8787/reg?id=abe6d2ee630379c3
44.重构该网站,该网站后台的代理用户数量为()
26
45.重构该网站,该网站注册用户中共有过()个代理(包含删除的数据)
看数据库
46.重构该网站,对补发记录进行统计,统计 2019 年 10 月 1 日后补发成功的金额总值()
网镜实在不会用。。。
之后的题目都是分析一下数据库或者网站后台就能做