DIDCTF2022新生赛部分题目WP

DIDCTF 2022新生赛部分题目wp

鉴于明天本人第一次打电子取证，所以临时抱佛脚找来了didctf的新生赛，从里面挑着题做的。。

---

介质与手机

1.请计算计算机的磁盘SHA256值

火眼直接算。

2.记录计算机名与开机用户名（格式：计算机名-开机用户名）

可知计算机名为DESKTOP-1R1FP8B，开机用户名为hello
（顺带一提本人一开始找到操作系统名去了，请认真读题😡）

3.记录计算机操作系统的具体Build版本号

(可能是因为火眼更新了？所以测出来的版本号更细一点，这题只填18363就行了）

4.计算机中后缀名是jpg的缩略图数量为

(这一题我又没认真读题了，问的是缩略图!，我直接去图片里面搜了。。。。。

5.计算机系统桌面管理应用相关的记录事件ID为

在火眼里翻了半天没找到，看wp才知道这是电子取证常识：
9027

6.记录当前计算机操作系统使用的文件系统格式

(不知道为啥答案要大写：NTFS）

7.当前计算机操作系统默认的照片查看器为

这题要开虚拟机去设置里找默认应用查看
（这提示我们当你在火眼里面翻不到东西时可以开虚拟机看看，反之亦然）

8.记录计算机Foxmail软件的安装时间

9.记录计算机于2020年7月29日最后一次运行navicat时间

这题用火眼的时间线功能，但是不知道为啥我的报错了😭，这里贴一章wp里的图片做参考好了。

10.嫌疑人曾用远程工具连接过__台服务器

在xshell会话我们可以看到有3台

Xshell 是一款由韩国 NetSarang 公司开发的 SSH（Secure Shell）客户端软件，主要用于通过加密协议远程连接和管理 Linux/Unix 服务器。

但就只是这样吗？答案并非三台。。看wp才发现回收站还有一个。。这提示我们一定要多翻翻。。。。

所以答案为4

11.查找计算机中有关手机应用的痕迹，记录APP文件所在路径,无需输入盘符（例：/Program/apk/999.jpg）

因为和手机app相关，所以去搜索栏搜索apk。

查找到路径为\Users\hello\Downloads\2020001.apk
(但是输的时候不对，要把\全换成/，不是很懂）

12.查找嫌疑人电脑上网站源码最可能的来源

既然题目给了三个选项（网页下载、蓝牙传递、邮箱获得），那我们直接去对应的地方找就行。

可以在邮箱中发现。

服务器分析

27.root用户最初使用192.168.197.1登录系统的时间？

火眼证据分析查看登录日志。

28.记录服务器根目录文件系统格式

我直接去问ai的，可知linux系统查看根目录文件系统格式的命令为：df -Th /，用火眼仿真还原虚拟机在其终端输入命令便可得到为xfs
（这个在火眼的分区详情中也能找到）

"记录服务器根目录文件系统格式"指的是查看并记录Linux服务器根分区(/)所使用的文件系统类型。

29.记录ssh远程登录端口

仍然是先去问了ai，要查找SSH服务的远程登录端口，可以查看SSH配置文件，SSH服务的默认配置文件通常位于/etc/ssh/sshd_config，可以使用以下命令：sudo grep -i "^Port" /etc/ssh/sshd_config查看到端口为13434

30.查看并记录管理面板的安全入口8位字符

进入虚拟机，输入命令bt启动宝塔命令面板，查看面板默认信息

得到入口8位字符为89c6da24

宝塔面板是中国用户中流行的服务器管理工具，其默认会生成一个 8位随机安全入口

32. 服务器存在一个分发网站，它是由什么网站框架搭建的

这个我确实想不到，使用命令netstat -nltp查看服务器的web服务为nginx

netstat -nltp是一个常用的 Linux 命令，用于查看当前服务器上所有 正在监听的 TCP 连接，并显示关联的进程信息

33.请列出系统中部署的网站路径。

宝塔中查看该网站部署的路径

34.记录服务器分发网站域名

其实我也不是很懂为啥就是这个，算蒙的吧（）

---

碎碎念

没做完，本来就是当fic比赛前练练手的。。。未来某一天我会回来把它补充完吧。。大概（目移）