22长安杯电子取证复现(检材一,二)

devtools/2024/11/15 4:55:36/

检材一

先用VC容器挂载,拿到完整的检材

 从检材一入手,火眼创建案件,打开检材一

1.检材1的SHA256值为

计算SHA256值,直接用火眼计算哈希计算

9E48BB2CAE5C1D93BAF572E3646D2ECD26080B70413DC7DC4131F88289F49E34

2.分析检材1,搭建该服务器的技术员IP地址是多少?用该地址解压检材2

要找技术员的ip

在火眼中访问登录日志

ip:172.16.80.100

因为要搭建应该要远程连接才能运维,所以选择查看登录日志
3.检材1中,操作系统发行版本号为

运用命令查找

cat /etc/redhat-release

操作系统发行的版本号 7.5.1804(Core)

4.检材1系统中,网卡绑定的静态IP地址为

 启动镜像,创建虚拟机后,会自动重置密码(登录用户为root,密码为123456,因为是第一次做电子取证,不知道在登录时密码是不显示的,以为是虚拟机卡了)

成功登录,查看ip

172.16.80.133

ifconfig

5.检材1中,网站jar包所存放的目录是 

查看历史记录,发现有下载jar包

 查看源文件,查看history发现里面有很多的关于jar的命令,并且都是在/web/app目录下的

 

6.检材1中,监听7000端口的进程对应文件名为 

命令执行看看有没有在监听7000端口的,没有发现,

netstat -anp | grep 7000

 查看历史,看看什么可能是什么文件的执行监听端口,发现后面的jar运行后,有查看端口的操作,所以分别运行jar包

nohup  java  -jar  /web/app/exchange.jar  >/dev/null 2>&1 &
nohup  java  -jar  /web/app/admin.jar  >/dev/null 2>&1 &
nohup  java  -jar  /web/app/market.jar  >/dev/null 2>&1 &
nohup  java  -jar  /web/app/ucenter.jar  >/dev/null 2>&1 &
nohup  java  -jar  /web/app/cloud.jar  >/dev/null 2>&1 &

先进入到/web/app目录下 ,

分别运行5个jar包,在运行结束后再一次查看是否有监听7000端口的

发现工作进程为1508在监听7000端口,查询进程的文件名

ps -aux |grep 7000

监听的文件名为cloud.jar

7.检材1中,网站管理后台页面对应的网络端口为

暂时空一下,网站的页面都不清楚

从15题看回来,检材二中就包含网站,在火眼中就能查看到网站后台的端口

端口:9090

8.检材1中,网站前台页面里给出的APK的下载地址是

apk是英文AndroidPackage的缩写,也就是我们常说的Android系统安装包

找到两个二维码扫描一下就能拿到

https://pan.forensix.cn/f/c45ca511c7f2469090ad/?dl=1

9.检材1中,网站管理后台页面调用的用户表(admin)里的密码字段加密方式为?

对admin-api.jar包进行反编译分析

md5加密

10.分析检材1,网站管理后台登录密码加密算法中所使用的盐值是

盐值:系统用来和用户密码进行组合而生成的随机数值,称作salt值;salt相当于加密的密钥,增加破解的难度。常用的单向散列算法有MD5、SHA等。

盐值为:XehGyeyrVgOV4P8Uf70REVpIw3iVNwNs

检材二

11.检材2中,windows账户Web King的登录密码是

解压后,用火眼打开就能看见

135790

12.检材2中,除检材1以外,还远程连接过哪个IP地址?并用该地址解压检材3

远程连接ip地址需要用到命令,查看SSH历史输入的命令(SSH系统就是专门用来远程连接的)

SSH:由 IETF制定的建立在应用层基础上的安全网络协议。它是专为远程登录会话(甚至可以用Windows远程登录Linux服务器进行文件互传)和其他网络服务提供安全性的协议,可有效弥补网络中的漏洞。通过SSH,可以把所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。目前已经成为Linux系统的标准配置

ip:172.16.80.128
13.检材2中,powershell中输入的最后一条命令是

启动检材二的镜像后,进入powershell,powershell用于Windows进行系统管理且powershell有终端记忆历史命令的功能,进入后按上键就可以查看历史命令

powershell:

PowerShell是一种功能强大的脚本语言和shell程序框架,主要用于Windows计算机方便管理员进行系统管理并有可能在未来取代Windows上的默认命令提示符。PowerShell脚本因其良好的功能特性常用于正常的系统管理和安全配置工作,然而,这些特性被攻击者理解并转化为攻击特性,也就成为了攻击者手中的攻城利器,给企业网络造成威胁。

 14.检材2中,下载的涉案网站源代码文件名为

在虚拟机中,打开Google浏览器查看下载记录,再解压看看,涉及到网站的只有一个,还有一个app

 文件名:ZTuoExchange_framework-master.zip

15.检材2中,网站管理后台root账号的密码为

密码为root

看到这里,开始涉及网站了,也出现了网址,所以可以回头去做检材一中的关于网站的问题

 16.检材2中,技术员使用的WSL子系统发行版本是

虚拟机powershell中执行

wsl -l -v

版本:20.04

17.检材2中,运行的数据库服务版本号是

在虚拟机中先运行Ubuntuwsl,在用mysql --version查看数据库版本(我认为应该是技术员使用的是WSL子系统,所以要先运行起来才能查看数据库的版本)

 18. 上述数据库debian-sys-maint用户的初始密码是

初始密码会保存在配置文件rootfs/etc/mysql

debian-sys-maint是mysql8.0的一个默认用户,默认密码在debian.cnf文件,在虚拟机中用命令查看(也可以在火眼中找到)

还是先进入wsl子系统下,进入mysql目录查看debian.cnf,权限不够,切换到root用户

su root

 再查看debian.cnf文件,看见password

19. 检材3服务器root账号的密码是

在SSH系统历史命令中能看见远程连接过root,密码为h123456


http://www.ppmy.cn/devtools/13187.html

相关文章

Centos7系统下安装Nginx并配置域名转发实现域名访问

感谢李天健同学辛苦创作,对于Nginx配置未完成的同学请移步他的博客。 传送门:Centos7系统下安装Nginx并配置域名转发实现域名访问 传送门2:1.24.0

idea同步yapi插件

1、前言 yapi是一个很好的接口文档维护工具,其swagger功能,可将接口信息同步到yapi平台上,但是swagger的编写,大量入侵代码,也加大了开发工作量,目前调研了idea集成yapi同步工具,无需嵌入式编写…

【高级算法设计与分析】实验1:分治算法解决凸包问题

实验一:分治算法 实验目的 1、掌握分治算法的设计思想与方法, 2、熟练使用高级编程语言实现分治算法, 3、通过对比简单算法以及不同的分治求解思想,理解算法复杂度。 实验学时 4 学时。 实验问题 求解凸包问题:输入是平面上 n 个点的集合 Q,凸包问题是要输出一个 Q 的凸包…

小程序AI智能名片S2B2C商城:AIGC系统赋能多元化应用场景新探索

随着人工智能技术的飞速发展,AIGC系统正逐渐渗透到各行各业,其中小程序AI智能名片S2B2C商城便是其应用的重要领域之一。AIGC系统以其强大的内容生成能力,为商城提供了更为丰富、个性化的内容体验,进一步推动了商城的数字化转型与升…

华火电燃灶:重拾烹饪艺术的黄金法则,打造家庭美食的温馨记忆

记得在饭店给客户人炒菜的时候,炉灶下的每一道菜都透着诱人的香气。无论是炒肉还是炖汤,那股鲜香总让人回味无穷。然而,回到家,用上自家的燃气灶,发现同样的食材、同样的配方,味道却平淡无奇,仿…

第七讲-流程挖掘(Process Mining)学习日志之α算法存在的问题

第七讲-流程挖掘(Process Mining)学习日志之α算法存在的问题 在现实中,我们往往不知道“真正的”模型是什么样的。事实上,不存在所谓描述一个过程的模型,在应用中可能同时存在多个模型(即同一件事情的不同视图),同时在…

数据结构练习-线性表定义与基本操作

----------------------------------------------------------------------------------------------------------------------------- 1. 线性表是( )。 A.一个有限序列,可以为空 B. 一个有限序列,不可以为空 C. 一个无限序列,可以为空…

unity的特性AttriBute详解

unity的特性AttriBute曾经令我大为头疼。因为不动使用的法则,但是教程都是直接就写,卡住就不能继续学下去。令我每一次看到,直接不敢看了。 今天使用文心一言搜索一番,发现,恐惧都是自己想象的,实际上这个…