2019長安杯WP
檢材1
1.SHA-256
5EE0B3809807BF8A39453695C5835CDDFD33F65B4F5BEE8B5670625291A6BC1C
2.操作系統版本
CentOS Linux release 7.6.1810(Core)
3.內核版本
3.10.0-957.el7.x86_64
4.分區個數
2
5.LVM分區起始扇區
2099200
)
6.root邏輯卷文件系統
XFS
7.root邏輯卷的物理大小是多少Byte
18249416704
8.該服務器的網站訪問端口
8091
9.10.本地docker鏡像數、docker版本
直接用網鏡看
也可以使用以下命令
docker images
docker -v
11.docker應用中總共有多少容器
上面docker概覽有,10個
12.docker中運行的容器有多少
同樣,docker概覽的Running,有3個
13.名稱為romantic_varahamihira的容器節點,它的hostname
53766d68636f
14.上題容器節點中,占用了主機的哪個端口
未占用,netstat -pantu 沒有
15.容器ID為15debb1824e6的容器節點,它運行了什么服務
ssh
16.上題容器節點中,占用了主機的哪個端口
39999
17.該服務器中網站運行在docker容器中,其中web服務使用的是什么應用
由上面端口8091的可知,是nginx
18.上題所述運行web服務的容器節點,使用的鏡像名稱是什么
19.上題所述容器節點占用的容器端口是什么
8091 答案是80,不知道為什么
20.網站目錄所在的容器內部路徑為(格式:容器ID:路徑)
就開了3個容器,進去看目錄就行
21.網站目錄所在的主機路徑為下列選項中的哪個
/var/lib/docker/overlay2/cca977c8ca4a251023000285fbc8b4556636e1adc53cb012c84133a7b857abfc/diff/home/vue2-element-touzi-admin
畢竟是選擇題,一個個路徑帶進去試就行了,而且正好是第一個選項
22.網站日志的路徑在哪
進容器找一下路徑就行了
path:"16fc160060c1:/etc/nginx/logs/jrweb.log"
23.案發當時,該服務器的原始IP地址是多少
日志里能夠找到 192.168.184.128
24.在docker中,各容器節點和主機之間的網絡連接模式是什么
網探 bridge
25.當我們想將網站重構好時,訪問網站時,web應用在其中承擔什么樣的工作
轉發
26.從網站日志中,我們可以看到嫌疑人入侵服務器所使用的IP是
從docker中導出日志
root@16fc160060c1:/etc/nginx/logs# cat jrweb.log > /tmp/jrweb.log
[root@localhost conf.d]# docker cp 16fc160060c1:/tmp/jrweb.log /tmp/jrweb.log
發現192.168.180.133的IP在爆破密碼
所以IP是192.168.180.133
27.網站目錄中網站的主配置文件是哪一個
/config/index.js
28.該網站使用的是什么數據庫
正常思路就是找連接數據庫的文件,cat ./server/db.js:
MongoDB
29.所使用數據庫的端口是多少
上面的連接已經看出來了:27017
30.數據庫所在服務器IP是多少
上面的連接已經看出來了:192.168.184.129
31.數據庫的用戶名是什么
上面的連接已經看出來了:root
32.數據庫的密碼是什么
上面的連接已經看出來了:root
33.該網站所使用的數據庫庫名是什么
上面的連接已經看出來了:tougu
34.在案發時,黑客對該服務器某個文件/目錄進行了加密,請問是哪個文件/目錄
查看history
.bash_history
檢材2
35.該數據庫服務器使用數據庫的安裝路徑在哪
/var/lib/mongo
36.數據庫的配置文件的路徑
/etc/mongod.conf
網探連接數據庫,直接查看
37.數據庫的日志文件路徑在哪里
/var/log/mongodb/mongod.log
上題圖片就有
38.該數據庫的網站用戶表名是什么
users
連了mongo,啥都沒有,只能看日志,搜了下password,看到了對users的操作,說明這個就是用戶表名
39.該數據庫中網站用戶表里的密碼字段加密方式
網上試着解密下找到的這個密碼
)本來以為是一層md5 密碼forensix,但原邏輯發現並沒有解密驗證,MD5應該是存儲時候自動加的
40.該用戶表被做過什么樣的修改
修改用戶密碼
還是剛才那條日志
網上查一下mongoDB的update操作
這行操作的意思就是查詢username="admin",然后修改密碼為ee16c5d7054e010582a7a5cfe7814d4a
41.嫌疑人對該數據庫的哪個庫進行了風險操作
既然是風險操作,我們就搜一下這些操作。刪庫dropDatabase直接就搜到了
連帶着42、44也出來了
tougu
42.嫌疑人對上述數據庫做了什么樣的風險操作
刪除庫
43.嫌疑人在哪個時間段內登陸數據庫
18:05-18:32
last
44.嫌疑人在什么時間對數據庫進行了42題所述的風險操作
18:09:37
檢材3
45.該服務器所使用的VPN軟件,采用了什么協議
查看history
PPTP
46.該服務器的時區為
Asia/Dhaka
47.該服務器中對VPN軟件配置的option的文件位置在哪里
history里對該配置文件進行了修改
/etc/ppp/options.pptpd
48.VPN軟件開啟了寫入客戶端的連接與斷開,請問寫入的文件是哪個
看wtmp,有ppp123的連接記錄
49.VPN軟件客戶端被分配的IP范圍
192.168.184.12-192.168.184.18
cat /var/log/pptpd.log
50.由option文件可以知道,option文件配置了VPN軟件的日志路徑
/var/log/pptpd.log
51.VPN軟件記錄了客戶端使用的名稱和密碼,記錄的文件是
/etc/ppp/chap-secrets
52.在服務器時間2019-07-02_02:08:27登陸過VPN客戶端的用戶名是哪個
root
cat /var/log/pptpd.log
53.上題用戶登陸時的客戶IP是什么
clientIP:192.168.43.238
54.通過IP172.16.80.188登陸VPN服務器的用戶名是哪個
vpn1
55.上題用戶登陸VPN服務器的北京時間是
由上題可知時間,但是需要+2小時
2019-07-13_16:15:37
56.該服務器曾被進行過抓包,請問network.cap是對哪個網卡進行抓包獲得的抓包文件
ens33
57.對ens37網卡進行抓包產生的抓包文件並保存下來的是哪個
net0713-1.cap
58.從保存的數據包中分析可知,出口的IP為
172.16.80.92
檢材4
【注】:解壓密碼:172.16.80.188
59.計算“檢材4.E01”文件的sha256值
1E646DEC202C96B72F13CC3CF224148FC4E19D6FAAAF76EFFFC31B1CA2CDD200
60.請分析該檢材的操作系統版本
Windows 10 Education
61.找出該系統用戶最后一次登陸時間
2019-07-14 10:40:02
62、找出該系統最后一次正常關機時間
2019-07-14 11:30:05
63.請計算檢材桌面上文本文件的sha256值
58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5
64.該系統於2019年7月13日安裝的軟件為
Eraser
65.找出該嫌疑人於2019-07-13 17:52:19時,使用WinRAR工具訪問了_____文件
時間軸分析
BitLocker.rar
66.系統於2019-07-13 17:53:45時運行了___程序:
Foxmail.exe
67.文件test2-master.zip是什么時間下載到本機的
2019-07-13 16:20:01
68.文件test2-master.zip是使用什么工具下載到本地的
Chrome
69.嫌疑人成功連接至192.168.184.128服務器的時間為
2019-07-13 16:21:28
密鑰連接
70.嫌疑人通過遠程連接到128服務器,下載了什么文件到本機
一個個搜一下
we.tar.gz
71.承接上一題,下載該文件用了多長時間
15秒
修改時間-創建時間=下載時間
72.請計算該下載文件的sha256值
既然是從128的服務器下下來的,那就從檢材1中把we.tar.gz文件拖出來計算sha-256
sha-256: 077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d5
73.請分析並提取,嫌疑人所用的手機的IMEI號碼
IMEI: 352021062748967
74.嫌疑人是通過何種方式聯系到售賣惡意程序的賣家的
大型犯罪現場
75.嫌疑人和賣家的資金來往是通過何種方式
微信
76.嫌疑人在犯罪過程中所使用的QQ賬號為
1649840939
77.賣家所使用的微信賬號ID為
chao636787
78.嫌疑人下載了幾個惡意程序到本機
通過聊天記錄可知,一共是跟帶頭大哥要了2個惡意程序
一個是runit,還有一個是加密解密的軟件
79.惡意程序被嫌疑人保存在什么位置
到這一步其實可以發現,這個D盤是一個虛擬磁盤由bitlocker加密的
那bitlocker怎么解密呢,前面的聊天記錄有些提示
說明某個地方是有嫌疑人的備份密鑰的
80.惡意程序是使用什么工具下載到本地的
Edge
81.嫌疑人是什么時間開始對受害者實施詐騙的
發短信的時間就是開始時間
19:04:44
82.請提取受害者的銀行卡信息,銀行卡賬號為
據說在檢材4備案的Ubantu里,有個db.sqlite3數據庫文件,但是我連進去之后只看到兩個銀行卡號記錄,還不知道這題怎么解。
83.請綜合分析,嫌疑人第一次入侵目標服務器的行為發生在
入侵128的記錄
時間軸分析
但是16:17:34選項並沒有,所以選16:17:35
84.請綜合分析,嫌疑人入侵服務所使用的登陸方式為
SSH密鑰
上面我們在分析第69題時,就是發現這個公鑰文件分析連接成功時間的
85.可知嫌疑人應對外發送過郵件,請分析並找到發出的郵件,可知郵件的發送時間為
A
這個題目是真的騷,我們在前面有發現,他下載過Foxmail,於是我們查看Foxmail使用痕跡,但是找不到郵件……因為他不一定用Foxmail發文件。所以我們換一個思路,在檢材三中(嫌疑人使用的VPN服務器)有ens33網卡的數據包net0713.cap,既然他發郵件,那么一定走了代理,所以我們再研究研究那個檢材3的那兩個數據包。
SMTP過濾下
這兩個郵件可以導出
導出4個EML文件
其中有BitLocker.rar
但這個壓縮包是加密的。我們回憶下,剛才我們的檢材4桌面有個文本文件新建文本文檔.txt,是個字典對吧。那個字典就是來破解這個BitLocker.rar的
使用AccentRPR工具進行密碼爆破
秒了,解壓出來BitLocker.TXT
此時,我們被加密的磁盤就能打開
內含3文件,decrypt解壓密碼niuroumian6,解壓出來decrypt文件
86.可知嫌疑人應對外發送過郵件,請分析並找到發出的郵件,可知郵件收件人為
1649840939@qq.com
87.請重構被入侵的網站,可知該網站后台管理界面的登陸用戶名為
admin
雖然得到了數據庫文件,配置好了拓撲,但我還是不知道如何重構這個網站,但是對於以下題目來說,其實根本不需要重構
比如這題,其實我們在分析mongodb的時候,能夠看到有過對tougu.user的用戶密碼修改,這個用戶就是admin
88.請重構被入侵的網站,並登陸網站后台管理界面,對該網站進行證據固定,可知該網站首頁左側導航欄,不包含下列那個內容
會員信息
當時看到這個題的時候,急着去重構網站,結果發現在備份中就有example
一目了然
89.通過分析知,嫌疑人對目標服務器植入了勒索程序,請解密檢材2中的被加密數據庫,其sha256值為
sha-256: 8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a2
對db計算sha-256
90.通過分析知,嫌疑人有對目標服務器植入ddos程序,對該程序進行功能性分析,可知該程序會將自身復制到目標機器的什么目錄下
91.通過分析知,嫌疑人有對目標服務器植入 ddos 程序,對該程序進行功能性分析,可知該程序主控地址為
惡意程序就兩個,decrypt我們已經掌握,那么就是runit
但這又有什么用呢,俺是二進制小白,哪位大哥幫俺逆個向....
92.壓縮包 test2-master.zip 中的文件是什么?
密鑰文件
packerlin's test.txt
93.應用程序TrueCrypt-7.2.exe是在什么時間下載到本機的
2019-07-06 00:08:38
94.文件runit.txt從哪個域名下載的
https://pan.forensix.cn/seafhttp/files/8fdf1982-e323-4efe-ae28-2bba21b5162c/runit
95.BitLocker密鑰在什么位置
C:/Users
96.BitLocker.rar生成的時間是
2019-07-13 17:52:19
97.we.tar.gz傳輸完成的時間是
前面也分析過,修改時間就是下好的時間
98.嫌疑人在什么時間登陸網頁微信
2019-07-13 16:34:55
99.嫌疑人於2019-07-13 17:22:23下載了什么文件
數據庫備份文件
時間軸分析找不到,選項四個文件找一下,發現db的修改日期正好是2019-07-13 17:22:23
)
100.硬盤C盤根目錄中,文件pagefile.sys.vhd的作用是什么
虛擬磁盤
總結
花了不少時間才做完,不得不說長安杯取證題目確實有難度。其中對19、59和82的答案存疑,希望大佬點撥,WP有不對的地方也希望大佬幫忙指正。