第一部分
1.操作系統版本
2.操作系統內核版本
hostnamectl
或者
/proc/version3.磁盤包含一個LVM邏輯卷,該 LVM 開始的邏輯區塊地址(LBA)
開始位置=總扇區數-第二個扇區數
83,886,080-81,786,880=2099200
4.檢材 1 中網站“www.kkzjc.com”對應的 Web 服務對外開放的端口是()
netstat -anp
查看開放的端口,ssh連7001,用網鏡連
32000
5.所在的服務器共綁定了()個對外開放的域名
如圖可見是3個
6.所在的服務器的原始 IP 地址是()
開啟docker服務,查看docker日志
https://blog.csdn.net/dongdong9223/article/details/52998375
service docker start
#列出容器
docker ps
docker logs 08 (這里docker容器是08)
7.嫌疑人曾經遠程登錄過檢材 1 所在的服務器,分析並找出其登錄使用的 IP 地址是
()(並使用該地址解壓檢材 2)
最早的記錄
192.168.99.222
8.檢材 1 所在的服務器,其主要功能之一為反向代理。找出“www.kkzjc.com”轉發的后台網站所使用的 IP 地址
是()(並用該 IP 地址解壓檢材 3)
繼續進入docker查看配置
https://www.runoob.com/docker/docker-exec-command.html
192.168.1.176
9.嫌疑人曾經從題 7 的 IP 地址,通過 WEB 方式遠程訪問過網站,統計出檢材 1 中該IP 出現的次數為
還是用本地ssh連接目標機,然后進入docker容器調取日志
https://www.cnblogs.com/flipped/p/12701238.html
docker logs 08 2>&1 | grep 192.168.99.222
數了18個
第二部分
|
liwente1314520
|
honglian7001
|
2020-09-22 11:04:32
|
進行仿真,放進取證大師
10.檢材 2 的原始磁盤 SHA256 值為()
用取證大師計算感覺有點慢
[2021-10-13 18:58]
名稱: C:\Users\AEQAQ\Desktop\2020長安杯取證題目\cowtransfer-file-d3c00cfb-3c7b-4fbb-a0df-08d120098117%2Fchangancup2020\檢材2.E01; 設備類型: 磁盤鏡像; 大小: 60.00 GB;
扇區數: 125,831,168; 計算扇區數: 125831168; 起始扇區: 0; 結束扇區: 125831167; 設備序列號: ;
SHA-256值: 2D926D5E1CFE27553AE59B6152E038560D64E7837ECCAD30F2FBAD5052FABF37
11.檢材 2 所在計算機的 OS 內部版本號是()
https://jingyan.baidu.com/article/11c17a2c4bdd46b547e39d18.html
12.所在計算機最后一次正常關機的時間為()
取證大師可以直接看
13.VMware 程序的安裝時間為()
最早的,2020-09-18 17:54:58
14.Vmware.exe 程序總計啟動過()次
翻倒后面有6個記錄所以是6次
15.嫌疑人通過 Web 方式,從檢材 2 訪問檢材 1 所在的服務器上的網站時,連接的目標端口是()
找到剛剛服務器的ip了
8091
16.該端口上運行的進程的程序名稱(Program name)為()
剛把服務器虛擬機關掉。。
netstat看一下即可
17.嫌疑人從檢材 2 上訪問該網站時,所使用的域名為()
www.sdhj.com
18.檢材 2 中,嫌疑人所使用的微信 ID 是()
壞了,他電腦沒裝微信,但是看到了這個
放到火眼里面分析,是個ios
19.分析檢材 2,嫌疑人為推廣其網站,與廣告位供應商溝通時使用的通聯工具的名稱為()
都可以盲猜telegram了,搞hc的
20.分析檢材 2,嫌疑人使用虛擬貨幣與供應商進行交易,該虛擬貨幣的名稱是()
狗狗幣
21.上述交易中,對方的收款地址是()
在上面圖里
DPBEgbwap7VW5HbNdGi9TyKJbqTLWYYkvf
22.上述交易中,嫌疑人和供應商的交易時間是()
23.上述交易中,嫌疑人支付貨幣的數量為()
24.檢材 2 中,嫌疑人使用的虛擬機的虛擬磁盤被加密,其密碼為()
https://github.com/axcheron/pyvmx-cracker
把虛擬機先導出來,然后本地爆破
25 檢材 2 中,嫌疑人發送給廣告商的郵件中的圖片附件的 SHA256 值為();(忽略郵件狀態)
導出郵件附件,算sha256
cc7ea3ab90ab6b28417e08c715c243ce58ea76d71fd141b93f055a58e9ba561a
26.檢材 2 中,嫌疑人給廣告商發送廣告圖片郵件的發送時間是()(忽略郵件狀態)
27.嫌疑人的郵箱密碼是()
28檢材 2 中,嫌疑人使用了()遠程管理工具,登錄了檢材 1 所在的服務器
Xshell6
29.檢材 2 中,嫌疑人使用上述工具連接服務器時,使用的登錄密碼為()
xshell解密工具:https://github.com/dzxs/Xdecrypt
1.拿到sid
S-1-5-21-333529371-829162338-69828790-1001
2.找到xshell配置文件目錄[C]:\Users\hl\Documents\NetSarang Computer\6\Xshell\Sessions\192.168.99.3.xsh
kRUdH8kWXkCNsoX/rbKyZYNZVbZjflCUXXqSq3vZFg+i43BdA4S1650XfUA=
解密密碼
python Xdecrypt.py -s HLS-1-5-21-333529371-829162338-69828790-1001 -p "kRUdH8kWXkCNsoX/rbKyZYNZVbZjflCUXXqSq3vZFg+i43BdA4S1650XfUA="
qwer1234!@#$
第三部分
30.檢材 3 的原始磁盤 SHA256 值為()
[2021-10-14 10:57]
名稱: C:\Users\AEQAQ\Desktop\2020長安杯取證題目\cowtransfer-file-d3c00cfb-3c7b-4fbb-a0df-08d120098117%2Fchangancup2020\檢材3.E01; 設備類型: 磁盤鏡像; 大小: 40.00 GB;
扇區數: 83,886,080; 計算扇區數: 83886080; 起始扇區: 0; 結束扇區: 83886079; 設備序列號: ;
SHA-256值: FF593FCCB3770B8845A3334631F8E80807638EE722C5AA7B34E877589857C3BA
31.檢材 3 所在的計算機的操作系統版本是()
32.檢材 3 中,部署的網站名稱是()
card
33.檢材 3 中,部署的網站對應的網站根目錄是()
C:\inetpub\wwwroot\v7w
34.檢材 3 中,部署的網站綁定的端口是()
80
35.檢材 3 中,具備登陸功能的代碼頁,對應的文件名為()
dllogin.aspx
36.檢材 3 中,請對網站代碼進行分析,網站登錄過程中,代碼中對輸入的明文密碼作了追加()字符串處理
OvO
37.檢材 3 中,請對網站代碼進行分析,網站登錄過程中,代碼中調用的動態擴展庫文件的完整名稱為()
38.檢材 3 中,網站登錄過程中,后台接收到明文密碼后進行加密處理,首先使用的算法是 Encryption 中的()函數
AESEncrypt
39.檢材 3 中,分析該網站連接的數據庫地址為()並使用該地址解壓檢材4
192.168.1.174
40.檢材 3 中,網站連接數據庫使用的密碼為()
注意用空格填充
41.檢材 3 中,網站連接數據庫服務器的端口是()
1433
第四部分
42.檢材 4 的原始磁盤 SHA256 值為()
SHA256:E5E548CCAECD02608A0E053A5C7DCDBFBDD4BE5B0E743EB9DC8E318C369BEBC8
43.重構該網站,分析嫌疑用戶的推廣鏈接中參數里包含的 ID 是()
網站重構:
配置虛擬機靜態ip https://segmentfault.com/a/1190000017535131
按照上面的文章配置靜態ip沒問題,但是name一定要改為ens160,這個要 ip addr命令才能看到默認的
用第二個登錄
這里有幾個坑:
1.登錄時候查詢數據庫的邏輯要判斷域名
所以還要更改TD_WEB這張表
2.可以通過反編譯讓js彈出加密后的密碼
這里原來是密碼錯誤
http://www.xxxx.com:8787/reg?id=abe6d2ee630379c3
44.重構該網站,該網站后台的代理用戶數量為()
26
45.重構該網站,該網站注冊用戶中共有過()個代理(包含刪除的數據)
看數據庫
46.重構該網站,對補發記錄進行統計,統計 2019 年 10 月 1 日后補發成功的金額總值()
網鏡實在不會用。。。
之后的題目都是分析一下數據庫或者網站后台就能做