2025獬豸杯Joyooo

Joyooo獬豸杯wp

服务器取证

1.该集群主节点操作系统版本是？[标准格式：100.100.100]

7.9.2009

火眼扫出来系统信息里发现是 7.9.2009 (Core)

2.该集群创建时间是？[标准格式：0000-00-00T00:00:00Z]

2024-06-24T11:28:12Z

输入命令：kubectl get namespace default -o yaml 得到答案

正常来说输入kubectl cluster-info查看集群创建时间，但是这道题没出来，学到集群创建时间和命名空间（系统默认的）创建时间很接近，直接查看命名空间创建时间

（此命令会以 YAML 格式（一种人类可读的数据序列化格式）输出 default 命名空间的详细信息，可以在输出中找到 creationTimestamp 字段来获取创建时间）

3. 该集群共有多少个命名空间？[标准格式：100]

7

官方wp里kubectl get namespace --no-headers | wc -l固然可以出来

感觉不如直接ns一个一个数

4 该集群所有命名空间内总共有多少个pod？[标准格式：100]

19

这个多一点，用掐头去尾计数法就方便了，如上

5 请给出该集群所使用的cni网络插件及其版本？[标准格式：abc-V1.1.1]

flannel-V1.0.0

大部分 CNI 插件的配置文件位于/etc/cni/net.d/目录下，通过查看这些文件能确定插件类型和版本信息。（这道题属于少数情况了）

ls /etc/cni/net.d/可查看

这题在/opt/cni/bin/下

ls -l /opt/cni/bin/可查看

/opt/cni/bin/flannel -version可查看finnal版本

6 其中打金平台的后台登录地址跳转文件是？[标准格式：abc.php]

WIdbdgd1Us.php

宝塔面板上找到这个网站，应为是登录，操作日志搜login/,找到＂http://www.mtbtsdafda.com/index.php/systemlogined/login/index后台登录网址com往后的是跳转的，在所需要的php里因该有，所以取跳转到的部分**index.php/systemlogined/login/index

文件里面搜索带这个的找到答案（header在这里是指向的意思

其实网站根目录也就俩php文件，默认index.php那么另一个应该就是了，可以自行测试一下

7 其中打金平台密码加密算法是？[标准格式：abc]

sha1

在该网站目录下搜索password，看到是sha1

8 其中打金平台中"13067137585"用户的累计产量有多少？[标准格式：100.00]

43853.21、

诺神niub，请教了家诺，先

找到对应网站点管理

跳转以后点数据库，查询输入13067137585，在“member”里找到这个人的账号密码，密码不好破解，直接用自己设的密码sha1加密一下然后改掉

在返回登陆界面用自己改的密码登录就可以了，进来看到答案

9 其中打金平台会员组最高溢价比例是多少？[标准格式：10.00]

1.70

systomlogin后台登陆

loginaction登陆反应（可进去改判断条件

在找到跳转后台登陆的php，进去能看判断条件，对//验证用户名和密码做修改，可以使得密码失效。

然后之前跳转后台的文件里有后台的网址，打开用账号admin登入（密码随便输）

可以看到答案为1.70

10 其中打金平台会员推广人数最多的会员其姓名是？[标准格式：名字]

李弈欣

后台直接就能看到

11 其中打金平台最早一次备份数据库的时间（Asia/Shanghai）是？[标准格式：2024-01-01-01:01:01]

2019-05-06-22:27:57

数据库里找到这一条然额是错的。

发现可以从 权限管理-操作日志里找到网站备份数据库的时间。（在对应的日志里找备份时间）

当然在数据库里找也是可以的：在表对象概览里的注释一栏找到系统操作日志表：ds_log，双击打开，搜索备份数据库。两条分别转换时间戳找早的那条。

12 其中金瑞币（JINRUI COIN）平台图片上传平台是哪种类型？[标准格式：腾讯云ABC]

阿里云

这个是查看网站的文件夹的路径

找到对应文件夹搜索“云”就出来了。

13 其中金瑞币平台手机直充接口是什么？[标准格式：http://xxx.xxx.xxx/xxx]

http://op.juhe.cn/ofpay/mobile/onlineorder

在网站的源代码里搜索能搜到

14 其中金瑞币平台后台登录地址是？[标准格式：http://xxx/xxx/xxx.xxx]

http://www.gsjksu2kig.com/admin.php/login/index.html

翻服务器文件的时候发现了密码是加盐MD5方式

可以用浏览器自带的搜索词高亮“空地ctrl+F”

就找着了嗨嗨嗨

15 其中金瑞币平台中密码加密盐值是？[标准格式：AbC1d]

GWwRbMOPJYZCvE5gembG

一搜即得

16 其中金瑞币平台中交易手续费是百分之多少？[标准格式：100]

36

后台进来了多翻一翻就找到了

17 其中金瑞币平台中目前有几种充值方式？[标准格式：100]

3

如图

18 二号集群节点有源代码的网站目录有几个？（正在运行的除外）[标准格式：1]

---

一般来说服务器集群01为主节点，02为一号节点，03为二号节点

连上E03用find / -name index.html

用这个指令确实能看到opt下有大量未运行源码，找到opt目录下看文件名能看出5个网站目录。

19 二号集群节点memcached端口是？[标准格式：100]

---

11211

003里搜搜发现：

port是端口的意思

尝试下直接全局搜索‘port’

自然是可以的。

还可以在003node2虚拟机里输入命令得到答案11211来的更直接

命令：netstat -anpt

可以看到memcached端口

20 盲盒平台中余额最多的用户是？[标准格式：AbC1d]

ZrAuyMT1tyo

改host地址“C:\Windows\System32\drivers\etc”

进去发现啊，数据库连不上，进不去

回来一看炸刚了，数据库编辑选项都无，咋搞呢，大佬求解!!

发现这个数据库在地址200，003服务器在201，所以先把002也开起，同步以后，再打开发现第一个网站就是盲盒平台，奈何数据库还是不知道咋连上去

翻翻日志找到了后台网址（还是搜login

搜了下用户名看到需要的数据库用户名

找家诺问了下

在200的宝塔里面点同步数据库，把需要的数据库同步下来了g3xiwj

然后用之前的宝塔里面的账号密码（这里要先用密码改密，因为未设置），就进去了数据库。

数据库里发现后台密码

之前搜pwd时候有看到加密方式：“admin密码”这样直接MD5

自己构建一个改回去

登进来

看到答案

21 盲盒平台可选二级域名有多少个？[标准格式：100]

13

后台能翻到

22 盲盒平台的支付密钥是？[标准格式：AbC1d]

LDAWIucAQQGQp7rEE4nSlvzQMKZxTxopqNSwjL8PcAIBbVLJkh

---

23 盲盒平台中拥有分站的用户名是？[标准格式：123abc]

5432ef

后台可翻到

24 借贷平台（www.jiedai0rmr.com）中验证码发送接口域名是？[标准格式：http://xxx.xxx.xxx/]

http://api.smsbao.com/

文件里搜索“验证码”找得到端口

我宝塔面板获取这个文件的时候一直在转出不来，就copy一下

问了问ai判断其作用的方法

25 借贷平台后台登录密码的加密算法中共使用了多少次hash函数加密？[标准格式：10]

4

搜索amdin发现有个加密方式是getpass

搜getpass能出来加密方式

也可以更简单，直接搜sha1，直接就出来了

加密方法：

26 接上题，借贷平台中后台登录的密码额外加密字符串？[标准格式：123ABc+]

26XBAmVMs+n_

密码额外加密字符串是“cfg_adminkey”搜就出来了

27 借贷平台中一共有多少借款订单？[标准格式：100]、

43

日志里先找到后台网址，然后翻数据库，可以发现还有两个数据库没翻

我是翻了第一个发现没啥，再去第二个，不知道有没有一眼看出的方法（进数据库还是要改密，操作同上）翻到后用先前找到的加密方式：

①：对密码进行一次md5加密

②：对26XBAmVMs+n_进行一次md5加密

①②拼接，整体进行一次md5加密

④：整体进行一次sha1加密

替换以后登入后台可以看到是43

28 借贷平台中"包玉莲"的

收款卡号是？[标准格式：1000]

6227001756030083140

29 借贷平台中贷款最大限额是多少？[标准格式：100]

350000

30 请综合该集群一共有多少个网站数据库？[标准格式：100]

7

要注意：4个是MySQL自带的数据库：

information_schema：存储数据库元数据，如表结构、列信息等。

mysql：核心系统数据库，存储用户权限、数据库配置等关键信息。

performance_schema：用于监控MySQL服务器执行性能。

sys ：提供了一系列方便查询性能和元数据的视图。

计算机取证

计算机-1

vm镜像里win+R输入 ipconfig /all 并回车

显示的最长的一行取最后六组

计算机-10

火眼里搜索，右键计算哈希取后六位

计算机-13

火眼中找到并导出对应的base.apk

放入雷电分析器中分析，得到包名

计算机-14

同上雷电中显示未加固

计算机-15

计算机-16

雷电里面打开澳门新葡京，发现设备不符合，打开后台脚本，

在登录界面的时候，关闭脚本，http抓包，找到后缀为login的

计算机-18

如图

计算机-2

同1题操作可显示出版本号

计算机-7

上豆包搜索主要的小说平台，第一个就是“起点中文网”

计算机-6

小蒙

手机取证

手机-12

火眼中搜“IMEI1”

找到后四![

](C:\Users\LENOVO\AppData\Roaming\Typora\typora-user-images\image-20250222174344932.png)

手机-13

自己数

手机-3

问豆包

手机-4

火眼里面搜sim看到对应记录

手机-7

手动爆破

手机-9

把该软件考出来下模拟器上，登一下发现不需要