20年美亚杯-Zello服务器部分WRITE UP

Zello服务器部分

以服务器作为团体赛的开头这部分相对后面Bob的部分而言相对简单一些考察的是对linux系统的认识注意如果直接用取证大师跑镜像会有很多数据跑不出来建议养成一个习惯每一个镜像都使用FTK挂载出来在跑软件

1.Zello服务器的hash 256是什么
说实在 hash256算的也太久了这里不跑了注意跑的是整个服务器的哈希值建议用取证大师里面的哈希工具跑这边就不贴值了(有的队直接扛了两个取证塔来跑

2.卷组是何时创建的
如果没有用FTK挂载的话这题应该是做不出的因为第三个分区直接跑没有数据挂载之后才能出数据发现他是基于Linux的ubuntu系统轻车熟路找到卷组所在目录注意检材里的是0时区我们要可以转换成+8时区

3.卷组的名称是什么
就是ubuntu-vg 前面找到的

4.物理卷的PV UUID是什么
可以通过排除法

5.物理卷的VG UUID是什么
经石师傅的提醒(while(1){print("ssfyyds")}) 发现题目选项打错了一个字把X打成了Z

6.Zello服务器的Linux内核版本是什么
知道怎么找内核版本但是说实在不会区分45 47和48 好在题目没有在这里为难我

7.Zello服务器的操作系统是什么
这题其实仿真了更好做但是鉴于账号过期了笨方法说实在这题是复制选项搜的等哪天有仿真了再改一下

8.Zello服务器的主机名是什么
其实这题如果早上有做过个人赛的话就会有印象嫌疑人是用ftp传输的如果有仔细看那个ftp的日志的话是能找到主机名为Zello的一个服务器但是这题也可以从检材找也是从卷组出发注意这个Zello服务器的主机名是最上面的那个host名不是下面分组里的ubuntu-sever的名字反正是整台机子的那个

9.Zello服务器的计算器ID是什么
又是经石师傅的提醒(while(1){print("ssfyyds")}) 发现又是翻译的锅题目问的是machine-id是多少

10.Zello服务器中使用的wordpress版本是什么
这题说真的是猜测的直接寻找wordpress文件找不到各种关于版本信息的东西想到linux系统毕竟是出题肯定是要安装文件的会不会没有删掉记录找到了bash记录之后发现他是直接curl了最新的wordpress文件我直接访问这个最新文件的下载地址发现下载下来的是5.6的鉴于是比赛当时出的题可能wordpress版本也不会低太多低一个版本左右选了5.5.1的最新的那个版本

11.与Zello服务器同步的主机名是什么
毕竟是linux 如果没有思路的话看日志或者是查看bash记录同步的话查日志是没找到所以看了看bash记录发现找到了ping主机的一条记录

12.Zello服务器的时区是什么
仿真的话是可以直接找到的比赛的时候我记得这部分是仿真做的当然也可以直接从文件里面找 etc/timezone

13.有多少个本地用户登录到Zello
查看var/log/wtmp 虽然不能仿真但是经石师傅的提醒(while(1){print("ssfyyds")}) 可以把这个文件拖到自己的linux里面看

14.植入网页目录的网络壳层的哈希(MD5)是什么
经石师傅的提醒(while(1){print("ssfyyds")}) 忘记把英文抄上了是问web dictionary的web shell的哈希是啥其实就是问那个马的哈希是多少你就看这一大串但是这马以我的水平还看不懂

15.\var\www\html\wordpress\net\2020\Login\index.php有什么作用
还记得个人赛的同学应该会记得这是一个用钓鱼网站盗取个人信息进行银行卡盗刷的案子看了看这个index页面里面包含了用户名密码登录的这些个操作然后我看到了这个文件夹下面的R3ZZ文件这个文件含有被盗刷的人的个人信息能推测出来这个网站是用来盗取别人信息的网站

16.钓鱼网站伪装成什么网站
Netfix 不用多说