2019长安杯做题笔记(检材三)

检材三压缩包密码为题26的ip地址

解压后火眼、仿真、网探同时开启，进入后发现仿真的ip地址不对劲。

尝试使用网探链接无果。

判断为设置静态ip，进入网卡配置文件进行查看，设置BOOTPROTO='none',IP='192.168.184.133'

修改其网卡文件

vi /etc/sysconfig/network-scripts/ifcfg-ens33

将其修改为下图所示

 保存退出重启网卡

systemctl restart network.service

查看ip地址

 192.168.21.0网段，正常。

链接网探，正常。

通过查阅资料（linux下VPN服务的配置-景安资讯平台 (zzidc.com)）得知,linux下的vpn通过ppp部署，默认位置为/etc/ppp，进入/etc/发现ppp文件夹

 确认其使用模块为PPP

45、该服务器所使用的VPN软件，采用了什么协议

PPTP是在PPP模块上开发的协议，推断为PPTP

进入/etc/ppp，查看ppp内含文件

  发现配置文件名为options.pptpd

实锤PPTP

46、该服务器的时区为

网探读取为GMT+06:00 (Bangladesh Standard Time)

 翻译过来为孟加拉国标准时间，即首都达卡(Dhaka)时间

所以时区为Asia/Dhaka

47、该服务器中对VPN软件配置的option的文件位置在哪里？

由题45可得为/etc/ppp/option.pptpd

48、VPN软件开启了写入客户端的连接与断开，请问写入的文件是哪个

这个题我不会做，只能一个个查找

 首先排除ftmp、tmp（路径问题）

查看btmp与ftmp文件内容

wtmp

 btmp

 无文件

因此判断为wtmp。

49、VPN软件客户端被分配的IP范围是

进入vpn服务器的日志

vi /var/log/pptpd.log

因为后续题目有询问2019-07-02_02:08:27登录的信息，因此选择该次登录的日志进行分析

  可以看到，该次登录用户名为root，客户端ip为192.168.43.238，vpn分配ip为192.168.184.12

返回看题目

 

 只有B符合，因此范围为192.168.184.12-192.168.184.18

50、由option文件可以知道，option文件配置了VPN软件的日志路径为

进入option文件

  看到logfile :/var/log/pptpd.log

51、VPN软件记录了客户端使用的名称和密码，记录的文件是

继续在option.pptpd内寻找

  在配置文件头部认证部分提到用户名、密码存放在chap-secrets文件中

52、在服务器时间2019-07-02_02:08:27登陆过VPN客户端的用户名是哪个？

据49题可知，为root

53、上题用户登陆时的客户IP是什么？

据49题可知，为192.168.184.133

54、通过IP172.16.80.188登陆VPN服务器的用户名是哪个？

把目录文件下载下来进行查找，寻找172.16.80.188

找到三条记录

 通过第二条可得知，登录名为vpn1

55、上题用户登陆VPN服务器的北京时间是

由上题可得，为孟加拉国标准时间2019-07-13_14:15:37

即北京时间2019-07-13_12:15:37（孟加拉为GMT+6，北京为GMT+8，比服务器晚俩小时）

56、该服务器曾被进行过抓包，请问network.cap是对哪个网卡进行抓包获得的抓包文件？

 有且仅有ens33网卡

57、对ens37网卡进行抓包产生的抓包文件并保存下来的是哪个？

在服务器中搜索.cap后缀文件

find / -name '*.cap'

查到两个

  把这两个文件都下载下来，利用wireshark打开

 无法解析网卡地址

进入系统查看history，发现

 

 ens37的网卡被抓包在了/var/log/net0713-1.cap

答案在这儿碰到我也是。。。醉了。这还是我方做了检材四的大佬告诉我的。顺便一提，检材四据大佬说巨难，那我这种刚玩服务器取证的直接放弃~

58、从保存的数据包中分析可知，出口的IP为

用wireshark打开被导出到本地的net0713-1.cap

 

可以看到172.16.80.188与外界有联系，其余均为局域网内通信

因此，出口ip为

172.16.81.188