数证杯初赛复现(不完全版)
数证杯初赛复现
VC秘钥/TP2G-h`q#(Ss!EUq,RR:Ss9"@!R"{-.kNw+-(gwGq.YLDS-|NEWH(GT3;6;
期末考完才有时间搞,当时初赛打的很烂,全靠队友,这次好好复盘。
实力有限,不可做的就弃了。
流量分析
一些题目可以通过CTF-netA进行明文检索辅助解题。
分析网络流量包检材,写出抓取该流量包时所花费的秒数?(填写数字,答案格式:10)(2分)
统计-捕获文件属性。
3504
分析网络流量包检材,抓取该流量包时使用计算机操作系统的build版本是多少?(答案格式:10D32) (2分)
同上题,看os位置。
23F79
分析网络流量包检材,受害者的IP地址是?(答案格式:192.168.1.1) (2分)
前期一直是192.168.75.132进行arp协议查询其他ip,因此为攻击方。
后面有大量对于192.168.75.131的[SYN]流量,对其进行扫描,所以为被攻击方。
同样的,看统计会话流量也容易判断。
分析网络流量包检材,受害者所使用的操作系统是?(小写字母,答案格式:biwu) (2分)
ubuntu
ip.src==192.168.75.131&&http
在Hypertext Transfer Protocol-Server中可以看到。
分析网络流量包检材,攻击者使用的端口扫描工具是?(小写字母,答案格式:abc) (2分)
直接搜字符串。
nmap
常见扫描器:awvs nmap goby fscan
分析网络流量包检材,攻击者使用的漏洞检测工具的版本号是?(答案格式:1.1.1) (2分)
3.1.0
在user-agent中发现Wfuzz(漏扫工具)和版本号。
在nmap扫描后大概就是用Wfuzz进行漏扫。
分析网络流量包检材,攻击者通过目录扫描得到的 phpliteadmin 登录点是?(答案格式:/abc/abc.php) (2分)
/dbadmin/test_db.php
Wfuzz之后的http流量就是登录db后台。
分析网络流量包检材,攻击者成功登录到 phpliteadmin 时使用的密码是?(答案格式:按实际值填写) (2分)
后面就是进行了三次密码尝试,找到对应的流量包,追踪http流,找到回复的200流量包,对text data显示分组字节流,显示为HTML即可看到。
admin不过也可以猜到最后的肯定是成功了。
分析网络流量包检材,攻击者创建的 phpinfo 页面文件名是?(答案格式:abc.txt) (4分)
demo.php
http contains "phpinfo"追踪http流,得到。
分析网络流量包检材,攻击者利用服务器漏洞从攻击机上下载的 payload 文件名是?(答案格式:abc.txt) (4分)
rev.txt大胆猜测后缀名就是txt看到只有robots.txt和rev.txt所以就出了(bushi
就是反弹shell要用的payload。
- 一种方法就是去搜索wget,Ubuntu系统下常见的下载方法去查看
- 另一种方法是在攻击方搞完demo.php之后发送了个payload,看到rev.txt
分析网络流量包检材,攻击者反弹shell的地址及端口是?(答案格式:192.168.1.1:1234) (4分)
看反弹shell的脚本得到了192.168.75.132:30127
分析网络流量包检材,攻击者电脑所使用的Python版本号是?(答案格式:1.1.1) (2分)
3.11.8
同样在shell脚本的流量包的http头处。
分析网络流量包检材,受害者服务器中网站所使用的框架结构是?(答案格式:thinkphp) (2分)
在反弹shell脚本中使用了fsockopen函数,这通常是基于tcp协议的。
所以通过过滤去查找反弹shell中所输入的命令即可找到。
not http and tcp.flags.push==1 and tcp.port==30127(大概tcp.flags.push==1是判断是否为反弹shell的?)
wordpress
分析网络流量包检材,攻击者获取到的数据库密码是?(答案格式:大小写按实际值填写) (4分)
sWfCsfJSPV9H3AmQzw8
同样查看反弹shell中的命令即可。
分析网络流量包检材,攻击者上传了一个weevely木马进行权限维持,上传时所使用的端口号为?(答案格式:3306) (2分)
猜测help.php为上传的木马。那么端口号也在输入的命令中可以找到(追踪tcp流)。wget 192.168.75.132:2000/help.php
2000
分析网络流量包检材,攻击者上传了一个weevely木马进行权限维持,该木马第一次执行时获取到的缓冲区内容是?(答案格式:按实际值填写) (4分)
http contains help.php追踪http流找到源码,加混淆了,让ai解读一下,大概是异或后base64,然后增添一些标志位。
第一次的密文得到的是dzINRguo2g6mkn7ycbbf9691e009G6pSUAZWgTBjNUtkPw==85a89e92c410
import base64
import zlib
def decrypt(ciphertext, key, kh, kf):
def xor_encrypt(data, key):
"""XOR 解密函数"""
l = len(key)
return ''.join(chr(data[i] ^ ord(key[i % l])) for i in range(len(data)))
# 提取加密数据
start = ciphertext.find(kh) + len(kh)
end = ciphertext.find(kf)
if start == -1 or end == -1:
raise ValueError("密文格式不正确")
encoded_data = ciphertext[start:end]
# Base64 解码
encrypted_data = base64.b64decode(encoded_data)
# XOR 解密
decrypted_data = xor_encrypt(encrypted_data, key).encode('latin1')
# 解压缩
try:
decompressed_data = zlib.decompress(decrypted_data)
return decompressed_data.decode('utf-8')
except zlib.error as e:
raise ValueError(f"解压缩失败: {e}")
# 密文和密钥
ciphertext = "dzINRguo2g6mkn7ycbbf9691e009G6pSUAZWgTBjNUtkPw==85a89e92c410"
key = "c6ae1e70"
kh = "cbbf9691e009"
kf = "85a89e92c410"
try:
result = decrypt(ciphertext, key, kh, kf)
print("解密结果:", result)
except Exception as e:
print("解密失败:", e)
得到57638(网上搞的脚本,我用AI跑了一个出了点问题。)
数据分析
1. 对计算机,手机,U盘镜像检材综合分析,找出计算机中VC加密容器使用的登录密钥文件,其中逻辑大小较小的文件占用多少个字节?
在手机鸽哒数据库中发现。
finalshell更小为1173
2. 对计算机,手机,U盘镜像检材综合分析,写出存储的“带彩计划.txt”文件的SM3哈希值前8位;(大写字母与数字组合,如:D23DDF44)
这里挂载vhd卡了很久,谢谢师傅们了。
按照所述,先挂vhd(双击,会报错),然后VC挂载会发现多出一个分区VC去解密这个分区即可。注意,选择秘钥是快捷方式(用拖拽的方式,选择秘钥的方式会导致选择到源文件)。
成功挂载。
AF30FFA1
3. 对计算机,手机,U盘镜像检材综合分析,写出存储的“Shakepay买币,提币流程.ppt”文件在当前分区的起始簇号;(填写数字,答案格式如:1234)
44378
虚拟机自带winhex。
4. 对计算机,手机,U盘镜像检材综合分析,写出存储在手机中,用于访问钱包地址的网站登录密码;(答案按照实际填写,字母全大写)
X29772024
私密相册中
5. 对计算机,手机,U盘镜像检材综合分析,写出存储的钱包地址的前8位;(答案格式:abcd1234)
0x91cCcA
浏览器存在metamask插件,登录即可查看。
6. 对计算机,手机,U盘镜像检材综合分析,写出存储的钱包地址私钥的前8位;(答案格式:abcd1234)
e87dca4c
7. 对计算机,手机,U盘镜像检材综合分析,统计出机主微信账单从210207-240206期间发生的转入金额第三高的“对方卡号”字段的值为?
在计算机下载中发现三个zip加密。
在手机图片里面(手机取证中有提到)存在密码。
合并表格,这里应该指的是单次的值。
我家的斌
8. 对计算机,手机,U盘镜像检材综合分析,统计出机主微信账单从210207-240206期间发生的“对方卡号”字段值为“陈建设”的转出净值为?(填写数字,答案格式如:1234)
501661
9. 对计算机,手机,U盘镜像检材综合分析,统计出机主微信账单从210207-240206期间发生的交易笔数第三多的数量为?(填写数字,答案格式如:1234)
207
大概指的是对方卡出现数量次第三多的次数。
10. 对数据分析检材中的第01-数据进行分析,办案人员从多个赌博网站中导出了100多份的报表,请统计出所有平台会员使用本币充值的总金额是多少?
copy *.csv K:\shuzhengbei\all.csv可以将所有相似框架的csv文件进行合并到all.csv,然后放到网矩分析改一下格式导出Excel表,但是这里的数字是以文本形式存储需要:选中数据->点击数据->选择分列->弹窗直接点击完成即可。由于这样合并的csv表头也都直接合并,所以筛选一下所有数值再求和
=SUBTOTAL(9,D2:D44574)
得到17590342
11. 对数据分析检材中的第02-数据进行分析,办案人员在电脑中找到多个赌博网站的交易流水报表,每个报表都是以网站编号和年份命名,每个月独立生成一个sheet页。请统计出所有的交易流水总金额是多少?(答案格式::123456)
120630660
网矩可以直接合并,由于算的事交易流水,把负值改为正值,直接可以计算总和。
网矩甚至可以直接切换列类型。
12. 对数据分析检材中的第03-数据进行分析,请从赌博平台的用户登录日志表中,统计出2020年1月1号至2020年6月30号,总共有多少位会员登录了该平台?(答案格式:123456)
镜像里面存在数据库,但是是个空数据库,存在.sql文件备份进行导入(仿真完后的数据库是有数据的)。
直接sql查询即可。
select count(distinct username) from ssc2022_member_session where ssc2022_member_session.loginTime between '2020-01-01 00:00:00' and '2020-06-30 23:59:59';
大概AI可以直接解。
4134
13. 对数据分析检材中的第03-数据进行分析,通过还原赌博平台数据库备份文件,请统计用户投注总次数前5的彩种开奖总次数?(涉及的数据库表:ssc2022_bets,ssc2022_data)
SELECT count(*) from ssc2022_data where type in (select type from (select ssc2022_bets.type from ssc2022_bets group by ssc2022_bets.type order by count(type) desc limit 5) as a);
12724
这是AI给出的sql语句也可以做出来。
SELECT type, COUNT(*) AS bet_count
FROM ssc2022_bets
GROUP BY type
ORDER BY bet_count DESC
LIMIT 5;
WITH TopBets AS (
SELECT type, COUNT(*) AS bet_count
FROM ssc2022_bets
GROUP BY type
ORDER BY bet_count DESC
LIMIT 5
)
SELECT d.type, COUNT(*) AS draw_count
FROM ssc2022_data d
JOIN TopBets tb ON d.type = tb.type
GROUP BY d.type;
最后加一起也可以得到结果
14. 对数据分析检材中的第03-数据进行分析,请统计出在不止一种彩种上进行过投注的用户数量,并计算他们在2018年一共涉及了平台多少流水?(答案格式:保留三位有效数字,如:123.123)
10721.099
sql语句复杂
SELECT SUM(ABS(coin))
FROM ssc2022_coin_log
WHERE actionTime >= 1514736000 AND actionTime < 1546272000
AND uid IN (
SELECT uid
FROM (
SELECT uid, COUNT(DISTINCT type) AS bet_num
FROM ssc2022_bets
GROUP BY uid
HAVING bet_num > 1
) AS a
);
手机取证
1.对手机镜像进行分析,机主微信ID号为?(答案按照实际填写,字母全小写)
wxid_gvlyzqeyg83o22
2.对手机镜像进行分析,机主在2023年12月登录宝塔面板使用的验证码为?
482762
3.对手机镜像进行分析,小众即时通讯“鸽哒”应用程序的最后更新时间为?
2024-09-20 10:06:13
对应文件夹的数据库tio.db中存在updatetime列。
4.对手机镜像进行分析,该手机中记录的最后一次开机时间。
2024-10-24 11:27:14
5.对手机镜像进行分析,该手机中高德地图APP应用的登录ID为?
950980338
6.对手机镜像进行分析,该手机中高德地图APP应用登录账号头像的SHA-256值前8位为?
路径在/media/0/Android/data/com.autonavi.minimap/files/autonavi/avatar/,这是 存储头像图片的路径。
/media/0/Android/data/com.autonavi.minimap/files/autonavi/avatar
在很多应用中,“avatar”通常指的是用户自定义的头像或个人形象图片。因此,在这个目录下,你可能会找到与用户账户关联的图像文件。
/media/0/Android/data/com.autonavi.minimap/files/autonavi/httpcache/imageajx
"httpcache"表明这是一个缓存目录,用来保存从网络下载的内容以便快速访问和减少数据流量。“imageajx”可能是指通过异步JavaScript请求(Ajax)获取的图像。这些图像可能是地图上的图标、地点的照片或其他需要展示给用户的图像资源。
8F8A68A3
7.对手机镜像进行分析,其中20220207-20230206的微信账单文件的解压密码为?
847905
在微信图片中可以找到,注意账单是否对应。
8.对手机镜像进行分析,机主在手机中存储的一张复古土砌矮墙照片的拍摄地为哪个城市?(答案格式:北京市)
景德镇市
9.对手机镜像进行分析,通过AI合成的人脸照片中,有几张照片是通过本机当前安装的AI照片合成工具生成,并有对应记录的?(填写数字,答案格式如:(1234)
3去对应的app中翻缓存数据库有3个记录,但是缓存中的图片共有17张。
10.[填空题]
对手机镜像进行分析,统计出通讯录号码归属地第二多的省份是?(答案格式:广东)(4分)
导出通讯录记录,福建
11.[填空题]对手机镜像进行分析,找出“季令柏”身份证号后4位为?(答案格式:1234)(2分)
修复图片8043
12.对手机镜像进行分析,找出接收“葵花宝典1.doc”文件使用的应用程序的第一次安装时间为?(答案格式如:1970-01-01 00:00:00) (2分)
2024-09-20 09:29:40
telegram
13.对手机镜像进行分析,机主使用的小众即时通讯应用使用的服务器IP为?(答案格式:127.0.0.1) (2分)
163.179.125.64
找数据库即可。
14.对手机镜像进行分析,机主在哪个平台上发布过转让传奇游戏币的信息,请写出该平台应用APP的包名?(答案格式:com.abcd) (4分)
com.jiuwu
爆搜。
15. 对手机镜像进行分析,其中有一“双色球网页的玩法规则中定义的“三等奖”的奖金是多少?(填写数字,答案格式如:1234)
存在于备忘录app中。不太好想到,直接爆搜“中奖规则”。发现中奖规则,一系列的彩票网址,https://www.cwl.gov.cn/fcpz/yxjs/ssq/。
3000
16.对手机镜像进行分析,找出手机连接过的米家摄像头终端设备的用户ID为?(答案格式:答案按照实际填写) (2分)
2968704175
17.对手机镜像进行分析,找出手机连接过的米家摄像头终端设备的IP地址为?(答案格式:127.0.0.1) (4分)
可以爆搜192.168。或者去mmkv文件夹中找配置文件(保存了一些程序所需的信息和数据)
192.168.110.106
计算机取证
1.[填空题]
对计算机镜像进行分析,计算该镜像中ESP分区的SM3值后8位为?
(答案格式:大写字母与数字组合,如:D23DDF44)(2分)
BDBE1073 EFI系统分区。
2.[填空题]
对计算机镜像进行分析,该操作系统超管账户最后一次注销时间为?(时区为UTC+08:00)(答案格式如:1970-01-01 00:00:00)(2分)
2024-10-25 22:57:32
系统日志4634ID。
3.[填空题]对计算机镜像进行分析,该操作系统超管账户有记录的登录次数为?(填写数字,答案格式如:1234)(2分)
24
4.[填空题]
对计算机镜像进行分析,该操作系统设置的账户密码最长存留期为多少天?(填写数字,答案格式如:1234)(2分)
42
仿真后secpol.msc即可查看
5.[填空题]
对计算机镜像进行分析,该操作系统安装的数据擦除软件的版本为?
(答案格式:1.23)(2分)
5.86
发现eraser。
6.[填空题]
对计算机镜像进行分析,该操作系统接入过一名称为“Realtek USB Disk autorun USB Device的USB设备,其接入时分配的盘符为?(答案格式:A:)(2分)
E
7.[填空题]
对计算机镜像进行分析,该操作系统无线网卡分配的默认网关地址为?(答案格式:127.0.0.1)(2分)
192.168.43.1
8.对计算机镜像进行分析,该操作系统配置的连接NAS共享文件夹的IP地址为?(答案格式:127.0.0.1) (2分)
192.168.188.1
9.对计算机镜像进行分析,写出“吵群技巧.txt”文件SM3值的后8位?(大写字母与数字组合,如:D23DDF44) (2分)
话术方法技巧.zip中存在txt
10887AE1
10.对计算机镜像进行分析,该操作系统通过SSH连接工具连接CCTalk测试环境的SSH端口为?(填写数字,答案格式如:1234) (2分)
12849Xshell中找到
11.[填空题]
对计算机镜像进行分析,该操作系统通过SSH连接工具连接的CCTalk境外服务器是哪个运营商的?
(填写汉字,答案格式:阿里云)(2分)
亚马逊云
看回收站。
12.[填空题]
对计算机镜像进行分析,获取机主保存在本机的U盾序号的后4位数字为?(填写数字,答案格式如:1234)(2分)
6409
foremost一下即可。
13.[填空题]
对计算机镜像进行分析,机主存储的某篇新闻报道“小程序搅动资源争夺战”的发表年份为?(答案格式:2024)(2分)
2019
14.[填空题]对计算机镜像进行分析,该操作系统访问“环球商贸”的IP地址为?
(答案格式:127.0.0.1)(2分)
39.108.126.128
15.[填空题]对计算机镜像进行分析,“环球商贸”服务器配置的登录密码为?
(答案按照实际填写,字母存在大小写)(2分)
HQSM#20231108@gwWeB
finalshell中存在该会话。
16.[填空题]对计算机镜像进行分析,机主安装的PC-Server服务环境的登录密码是?(答案按照实际填写,字母全小写)(2分)
jlb654321
17.[填空题]
对计算机镜像进行分析,机主搭建的宝塔面板的安全入口为?
(答案格式:/abc123)(2分)
/c38b336a
直接对虚拟机进行一个分析
18.[填空题]
对计算机镜像进行分析,机主搭建的宝塔面板的登录账号为?(答案格式:abcd)(2分)
igmxcdsa
**19.[填空题] 对计算机镜像进行分析,其搭建的宝塔面板的登录密码为?
(按实际值填写)(2分) **
存在盐值加密后的密码为93c35e3af4cfe9a3d19de72d4dce3337
在\分区0\www\server\panel\class\safe_warning下的sw_panel_pass.py中存在密码的加密方式
def password_salt(password,username=None,uid=None):
'''
@name 为指定密码加盐
@author hwliang<2020-07-08>
@param password string(被md5加密一次的密码)
@param username string(用户名) 可选
@param uid int(uid) 可选
@return string
'''
global salt
if not salt:
salt = public.M('users').where('id=?',(uid,)).getField('salt')
if salt:
salt = salt[0]
else:
salt = ""
return public.md5(public.md5(password+'_bt.cn')+salt)
可知盐值为0,所以就相当于是三次md5
jlb1998,看别的师傅可以在计算机检材中爆搜账号在附近找到密码(xway),再进行验证。
20.[填空题]
对计算机镜像进行分析,机主搭建的宝塔环境中绑定的宝塔账号是?(按实际值填写)(4分)
17859628390
这里应该指的是手机号。
21.[填空题]
对计算机镜像进行分析,机主搭建的宝塔面板中Mysql环境的root密码为?
(按实际值填写)(4分)
起仿真,对ens33网卡ip进行配置。
sudo dhclient ens33
sudo ifconfig ens33
123456
22.[填空题]
对计算机镜像进行分析,机主搭建的宝塔面板中Mysql环境连接的端口号为?(填写数字,答案格
式如:1234)(2分
3306 netstat一下
23.[填空题]接上题,“卡号分组”表所在的数据库名为?
(答案按照实际填写,字母全小写)(4分)
a_train2023
24.[填空题]接上题,“孙华锦”在2020-07-01 10:49:07时间节点的交易余额为?(答案格式:1234.56)(4分)
设置免密登录,navicat远连
6610.94
25.[填空题]对U盘镜像进行分析,其镜像中共有几个分区?(填写数字,答案格式如:1234)(2分)
2
26.[填空题]
对U盘镜像进行分析,其中FAT32主分区的FAT表数量有几个?(请使用十进制数方式填写答案,答案格式:1234)(2分)
FAT表头F8FFFF
Rstudio扫描完只存在一个FAT32表,当然也可以去搜索有几个FAT表头。
27.[填空题]
对U盘镜像进行分析,其中FAT32主分区定义的每扇区字节数为?
(请使用十进制数方式填写答案,答案格式:1234)(2分)
512
X-way
28.[填空题]
对U盘镜像进行分析,其中FAT32主分区的文件系统前保留扇区数为?(请使用十进制数方式填写答案,答案格式:1234)(2分)
保留扇区数=FAT扇区位置-起始扇区位置
9393处找到FAT表头,因此7345
29.[填空题]
对U盘镜像进行分析,其中FAT32主分区的FAT1表相对于整个磁盘的起始扇区数为?(请使用十进制数方式填写答案,答案格式:
1234)(2分)
9393
30.[填空题]
对U盘镜像进行分析,其中NTFS逻辑分区的$MFT起始簇号为?(请使用十进制数方式填写答案,答案格式:1234)(2分)
8个扇区为一个簇,
39082
31.[填空题]
对U盘镜像进行分析,其中NTFS逻辑分区的簇大小为多少个扇区?(请使用十进制数方式填写答案,答案格式:1234)(4分)
8同上图。
32. 对U盘镜像进行分析,请从该镜像的两个分区中找出使用“新建文本文档.txt”记录的同一个MD5值的两部分信息,并写出该MD5值的第13--20位字符串。(答案格式:大写字母与数字组合,如:D23DDF44) (4分)
D668AEE2修复两张图片文件头拼接即可。
程序功能分析取证
只会用微步,逆向太hard了。
1. 对exe程序检材进行分析,计算程序的MD5(128bit)校验值的最后八位是?(答案格式:大写字母与数字组合,如:D23DDF44)
3CDD7939
2. 对exe程序检材进行分析,找出其释放的可执行程序的路径?(答案格式:D:\Document\Aaaa)
C:\Program Files\Cloudflare
3. 对exe程序检材进行分析,找出其启动释放的可执行程序时命令的最后一个参数是什么?(答案格式:按实际值填写)
8.8.8.8
4. 对exe程序检材进行分析,该程序在执行时,会解密并写入一段字节码到Chakra模块的一个特定导出函数的内存地址中,以此来伪装调用的目的,请给出这个导出函数的名称?(答案格式:按实际函数名称填写)
5. 对exe程序检材进行分析,请问Chakra模块的代码段被修改了多少字节(答案格式:0x1122)
6. 对exe程序检材进行分析,解密出的字节码数据中携带着PE格式的数据,并且_IMAGE_NT_HEADERS头部的PE签名已经被修改,请给出修改后的签名值(答案格式:0x11 0x22)
7. 对exe程序检材进行分析,解密出的字节码数据中携带着PE格式的数据,并且节区数据被加密,请分析给出解密第一个节区时使用的秘钥(答案格式:0x1B 0x22 0x33 0x4A)
8. 对exe程序检材进行分析,这份字节码数据解密前的密文第一个字节是什么(例如:0x1B)
9. 分析检材APK中检材-01.apk,获取其md5(128bit)校验值的后八位?(答案格式:大写字母与数字组合,如:D23DDF44)
ceaebf87
10.分析检材APK中检材-01.apk,请写出app的包名?(答案格式:com.xxx.xxx)
com.changbo.pro
11. 接上题,请给出app的加固方式;(答案格式:梆梆)
360加固宝
12. 接上题,请给出app启动时主页面显示的activity名称;(答案格式:com.xxx.xxx.Mainactivity)
com.changbo.pro.ui.splash.SplashActivity
13. 分析检材APK中检材-01.apk,请给出加密的访问地址的数据是?
nCTC3EZ+il7D3P/0HglgduhUqlJikQwK
在strings.xml中找到可疑加密数据。
14. 分析检材APK中检材-01.apk,请给出解密后的域名为?(答案格式:需要加上端口号,如:(http://tieba.com:6666)
进行hook。
听弘连的师傅讲了,但是我雷电脱壳脱半天都脱不完整,摆了。
http://yueze.cc:8777
15. 接上题,请给出解密调用的so的名称;(答案格式:abc_amm)
16. 对检材APK中检材-02.apk分析,获取其中的flag;(答案格式:flag{ISEC-C6d-ddd-7gd})
17. 对检材APK中检材-03.apk分析,获取其中的flag;(答案格式:flag{ISEC-C6d-ddd-7gd})
服务器取证
前后端分离的服务器,但是我是fw,不会重构网站,数据库也有问题(navicat无法远连)所以好多题没法做,懒得深钻了,毕竟这应该是彭哥的任务(球球彭哥别再让我搞服务器取证了。
1. 对服务器检材进行分析,站点服务器可能是从哪个云服务平台上调证过来的?(填写汉字,答案格式:亿速云)
阿里云
服务器历史命令中可以找到。
2. 对服务器检材进行分析,站点服务器中数据库的密码是?(按实际值填写)
在历史命令中找到nohup java -jar -Xms4096M -Xmx4096M -Xmn3072M -Xss1M -XX:PermSize=256M -XX:MaxPermSize=256M /data/cal-0.0.1-SNAPSHOT.jar &,找到对应jar包。application-sxj.yaml为默认配置。
Sxy000**
3. 对服务器检材进行分析,站点服务器用于提供服务发现的工具名是?(答案格式:zookeeper)
consul
4. 对服务器检材进行分析,站点服务器数据库配置文件名是?(答案格式:database.php)
application-sxj.yaml
5. 对服务器检材进行分析,该网站涉及的APP名称是?(答案格式:微信)
顺心借
6. 对服务器检材进行分析,该网站用于存储大量身份证照的OSS中的AccessKeyID后八位是?(答案格式:按实际值填写)
EuZJybzD
7. 对服务器检材进行分析,站点服务器用于消息转发代理工具所使用的端口号是?(填写数字,答案格式:3306)
应该是rabbitmq5672
8. 对服务器检材进行分析,站点服务器用于启动定时任务的代码片段存在于?(答案格式:LoginIndex.class)
MobileStatusTask.class
jadx中直接搜定时任务。
9. 对服务器检材进行分析,站点服务器用于验证用户输入的验证码是否匹配的代码片段存在于?(答案格式:LoginIndex.class)
UserController.class
直接搜,在UserController.class和AdminIndexConller.class两处均有equal函数判断,admin处的是后台登录的验证,我认为是user用户登录的验证。
10. 对服务器检材进行分析,数据库服务器中Docker容器镜像中mysql的镜像ID号前6位是?(答案格式:123asd)
23b013
11. 对服务器检材进行分析,数据库服务器中DockerCompose的版本号是?(答案格式:1.1.1)
docker compose version
2.27.1
12. 对服务器检材进行分析,数据库服务器中用于存储后台登录账号的数据表名是?(答案格式:login)
systemctl start docker
docker start f29e
docker exec -it f2 sed -i '/\[mysqld\]/a skip-grant-tables' /etc/my.cnf
docker restart f29e
show databases;
use sxj_prod;
show tables;
看一眼应该是sys_user
13. 对服务器检材进行分析,后台管理员“xpt-0”所绑定的手机号码是?(答案格式:13001880188)
19521510863
14. 对服务器检材进行分析,用户首次借款初始额度是?(填写数字,答案格式:1)
global_config表相关。
15. 对服务器检材进行分析,受害者在平台中一共结款了几次?(填写数字,答案格式:1)
16. 对服务器检材进行分析,该平台中所有下单用户成功完成订单总金额是?(填写数字,答案格式:1)
17. 对服务器检材进行分析,该平台中逾期费率是?(答案格式:1.1)
18. 对服务器检材进行分析,该平台中累计还款总金额是?(填写数字,答案格式:1)
19. 对服务器检材进行分析,该平台总共设置了多少种借款额度?(填写数字,答案格式:1)
18,猜测quota是和贷款相关的表。
20. 对服务器检材进行分析,该平台一共有多少个借款渠道?(填写数字,答案格式:1)
应该是和channel_data表相关。
21. 对服务器检材进行分析,该平台对已完成用户收取了总计多少元服务费,结果精确到整数?(填写数字,答案格式:123)
浙公网安备 33010602011771号