2020长安杯做题笔记(检材一)

1.检材1的操作系统版本是（）

 火眼读取为Centos Linux release 7.6.1810(core)

2.检材1中，操作系统的内核版本是()

由题目1可知，为3.10.0-957.el7.x86_64

3.检材1中包含一个LVM逻辑卷，该LVM开始的逻辑区块地址(LBA)是()

 通过火眼打开，发现lvm1逻辑卷大小为38.99G,与检材1.DD的分区三大小一直，推测LVM逻辑卷为分区三

 因此，逻辑块开始位置为2099200

4.检材1中网站"www.kkzjc.com"对应的web服务对外开放的端口是()

尝试用网探链接，未果。利用MobaXterm链接，也未果。

查看ssh.service运行情况

systemctl status sshd.service

 发现ssh的监听端口设置为了7001

利用7001端口链接，成功。

查看到Nginx服务器由三个站点配置

 查看kkzjc.com的配置文件

 监听端口为32000

5.检材1所在的服务器共绑定了()个对外开放的域名

由上题可得，有3个。

6.检材1所在的服务器原始IP地址是()

nginx服务器配置同时有两个日志文件

 查看access.log

 查看30000端口与31000端口在服务器配置中有无定义

 

 判断为链接服务器主机的access.log

因此服务器主机的ip为192.168.160.148

7.嫌疑人曾经远程登陆过检材1所在的服务器，分析并找出其登录使用的IP地址为

因为远程登陆，判断为ssh登陆方式

排除.21.1(因虚拟机所在网段为21网段，.21.1为网关，即做题人的电脑)

共有两个Ip通过ssh登录入主机，分别问192.168.99.222，192.168.120.1

同理可排除.120.1的登录日志

因此为192.168.99.222

8.检材1所在的服务器，其主要功能之一为反向代理。找出www.kkzjc.com转发的后台网站所使用的ip地址是()

继续通过查看配置文件解析

 

可以发现，转发至本地8091端口，8091端口非常像docker使用端口

查看docker 列表即信息

docker ps
docker info

 判断docker服务被关了

开启docker服务,并查看docker列表

systemctl start docker
docker ps

 果然，8091端口是nginx使用的docker

网探重连

查看该容器Ip

docker inspect 08f64376a2e3

  得到ip为172.17.0.2

9.嫌疑人曾经从题7的IP地址，通过web方式远程访问过网站，统计出检材1中该ip出现的次数为()

进入网探，找到该容器，查看日志

共计18次