2022年长城杯复现（1）_在火眼分析中分析linux镜像-CSDN博客

本文链接：https://blog.csdn.net/2302_81293313/article/details/146292475

参考：https://forensics.xidian.edu.cn/wiki/ChanganCup2022/

2022.4th.changancup!

1. 检材1的SHA256值为

计算哈希计算的是源盘SHA256

补充；certutil -hashfile <文件名

2.找搭建该服务器的技术员IP地址，怎么分析 看登录日志172.16.80.100

3.操作系统发行版本号为使用仿真，怎么选择操作系统？（自动识别）

Systeminfo

cat /etc/redhat-release 在火眼仿真上

检材1系统中，网卡绑定的静态IP地址为

ifconfig 是Linux、Unix和macOS系统中用于配置和显示网络接口信息令

检材1中，网站jar包所存放的目录是(答案为绝对路径，如“/home/honglian/”)分析–>Linux基本信息–>历史命令

分析历史命令可以得知网站的jar包在/web/app里

绝对路径起点是根目录如：c:\或者/

相对路径起点为当前目录

查看当前cd（windows）pwd（Linux或macOS）

补充：项目可能采用Vue + Iview-Admin实现后台管理系统，所以admin.tar可能是管理后台，web.tar是前端主应用。此外，tar包是Linux的压缩格式，解压后包含dist目录下的静态资源‌。

dist 目录存放的是经过处理的、可直接使用的文件，便于部署或分发。Vue 项目是指基于 Vue.js 框架开发的 Web 应用程序或前端项目。Vue.js 是一个流行的 JavaScript 框架，用于构建用户界面和单页应用（SPA）

已经存在dist子目录了，说明vue源码已经打包好了，我们直接运行npm run dev启动vue项目即可。
nmp是node.js的一部分，检查nmp是否安装看nmp -v

5.检材1系统中，网卡绑定的静态IP地址为

使用如下命令即可得到

Ifconfig

用于配置和显示网络接口的参数（如IP地址、子网掩码、MAC地址等）

补充: Secure Shell(SSH) 是由 IETF(The Internet Engineering Task Force) 制定的建立在应用层基础上的安全网络协议。它是专为远程登录会话(甚至可以用Windows远程登录Linux服务器进行文件互传)和其他网络服务提供安全性的协议，可有效弥补网络中的漏洞。通过SSH，可以把所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。目前已经成为Linux系统的标准配置。

补充SSH 是一种协议，用于安全地远程访问和管理服务器。MobaXterm 是一个集成了 SSH 客户端和其他网络工具的多功能软件，主要用于 Windows 系统。MobaXterm 通过图形化界面和丰富的功能，简化了 SSH 的使用，并提供了更多的便利性。

网端配置，连ssh 看 systemctl status ssh 连mobaxterm

6.检材1中，监听7000端口的进程对应文件名

方法1：将jar包全部导出后, 解压缩查看application.properties文件逐个分析, 查看是哪个jar包使用了7000端口, 在cloud.jar中发现使用7000端口。

使用jadx-gui-1.4.7-with-jre-win.zip来打开jar包裹，但到目前为止我还没成功打开jar包

JAR包是Java应用程序和库的标准打包格式，便于分发、压缩和执行。检材2 D盘中的start_web.sh 即启动脚本

7.检材1中, 网站管理后台页面对应的网络端口为？（答案填写阿拉伯数字, 如“100”）

在检材2的 Google Chrome 历史记录中, 可以看到后台管理对应 9090 端口, 且访问地址对应检材1的静态 IP

补充：npm工具常用命令：

npm install 安装模块/包

npm run dev 启动项目 # 但run xxx中的“xxx”其实得看在package.json中是怎么定义的，不一定就是dev

npm bulid 打包部署

ctrl＋c终止当前运行命令

8.检材1中, 网站前台页面里给出的APK的下载地址是（答案格式如下：“https://www.forensix.cn/abc/def”)

7·8两个题都需要把网站启动起来到底怎么启动？？？？？？？？

htttps://forensics.xidian.edu.cn/wiki/ChanganCup2022/#8-1-apkhttpswwwforensixcnabcdef

第8题不懂

从文件里面发现了一千多张图片文件，我直接搜索了app的文件名，有若干个二维码，其中就有一个叫app_andraio.png的二维码，怀疑这就是apk下载二维码，但是没有找出网址

用手机扫码之后可以知道网址是https://pan.forensix.cn/f/c45ca511c7f2469090ad/?dl=1

另外还可以把二维码down下来，然后从cyberchef解密一下

因为是apk所以才搜的app吗？

原文链接：2022长安杯wp_2022长安杯电子数据检材-CSDN博客

9.检材1中, 网站管理后台页面调用的用户表(admin)里的密码字段加密方式为?都不懂，完全打不开jar包

首先既然网站管理后台调用了表，那就得涉及到数据库交互，那么就应该去分析java后端，比较相关的就是admin-api.jar包。

检材2

11. 检材2中，windows账户Web King的登录密码是

**方法一：**在火眼证据分析的基本信息里。

火眼仿真账户信息

135790

12.检材2中，除检材1以外，还远程连接过哪个IP地址？并用该地址解压检材172.16.80.128

**方法一：**查看Xshell连接记录，（ Xshell 是一款专业且易用的远程连接工具，特别适合需要频繁管理远程服务器的用户。如果你经常需要连接到Linux服务器或网络设备，Xshell 是一个非常好的选择。）其中172.16.80.133为检材1的ip

补充：虽然你的电脑直接连接到的是局域网，但通过路由器，它也间接成为广域网络（Wide Area Network, WAN）的一部分，WAN指的是覆盖大范围区域，比如城市、国家甚至全球的网络，你的互联网服务提供商（ISP）提供的互联网接入实质上是让你的局域网能够连接到更广阔的广域网。

在取证服务器时配置VMware的VMnet8路由器在同一网段的原因是为了实现虚拟机与宿主机之间的网络互通‌。VMnet8是VMware中用于NAT模式的网络适配器，通过配置VMnet8与宿主机在同一网段，可以确保虚拟机能够通过主机访问外网，同时外网无法直接访问虚拟机，从而提供一个相对隔离且可控的网络环境‌。

ifconfig（Interface Configuration）是一个用于配置和显示网络接口信息的命令行工具，主要在类Unix系统（如Linux、macOS等）中使用。它可以用来查看、启用、禁用和配置网络接口的参数

在Windows系统中，查看和配置网络接口信息的常用工具是 ipconfig 命令。它与类Unix系统中的 ifconfig 功能类似，但语法和输出格式有所不同

在无线局域网适配器（WLAN）下显示的 IPv4 地址就是你的设备在局域网（LAN）中的本机IP地址。这个地址是你的设备通过路由器（或DHCP服务器）在本地网络中分配的，用于与其他设备（如手机、电脑、打印机等）

在同一个网络内，指ip结合子网掩码算出的网络地址相同，即同一个子网。如192.168.1.0/24和192.168.1.2/24。同一网段可以直接通信，不同网段要经过路由器。

使用DHCP服务器动态分配IP地址

默认情况下，VMnet0网卡就是桥接模式，VMnet1就是仅主机模式，VMnet8就是NAT模式。其中，桥接模式是与网卡共享IP地址的，所以它没有子网划分。而NAT模式和仅主机模式都有子网划分，来构建内部网络，让处于内部网络的设备间可以相互通讯。

DHCP（动态主机配置协议）服务器是一种网络服务，用于为连接到网络的设备自动分配IP地址和其他网络配置信息。当设备加入网络时，DHCP服务器会为其分配一个可用的IP地址，并提供子网掩码、默认网关、DNS服务器等网络参数。这样，设备无需手动配置这些参数，即可自动获取所需的网络配置信息‌

路由器是一种网络设备，用于连接不同的网络并转发数据包。它通过查找目标IP地址的最佳路径，将数据包从源网络发送到目标网络。路由器的主要功能包括：

‌数据转发‌：连接不同的网络，确保不同网络之间的设备可以相互通信。

‌网络地址转换（NAT）‌：将内部网络与外部网络隔离，同时为多个设备分配公共IP地址。

‌网络安全‌：实施防火墙、虚拟专用网络（VPN）等功能，管理网络流量和负载均衡‌12。

修改虚拟网络编辑器的方式来配置，直接配置虚拟机的网段，使服务器的ip落在虚拟网络编辑器配置的虚拟网段内，来实现远程工具连接。

如果服务器的IP地址（例如 192.168.10.100）落在虚拟网段内，那么它与同一网段内的其他设备（例如远程工具的IP 192.168.10.101）可以直接通信。

同一网段的定义：如果两个设备的IP地址在同一网段内（例如 192.168.10.100 和 192.168.10.101，子网掩码为 255.255.255.0），它们可以直接通信，而不需要经过路由器。

检材2中，powershell中输入的最后一条命令是

位置

打开检材2的powershell方向键上

错1.自己电脑上在检材1里找

检材2中，下载的涉案网站源代码文件名为

ZTuoExchange_f

看清题目

尝试其他wp

Guithub项目是啥（搭建起来的网站吗？）

方法二：

**方法三：**结合浏览器访问记录里的网站名称判断

15.检材2中，网站管理后台root账号的密码为

**方法一：**火眼证据分析，Chrome保存的密码root

方法二*仿真后，Chrome查看在设置里自动填充，填之前的登录密码就能看

16. 检材2中，技术员使用的WSL子系统发行版本是

补充：Wsl是微软windows操作系统的一个兼容层，允许用户在windows系统上直接运行linux二进制可执行文件，使得无缝使用linux工具和应用程序，而无需切换到虚拟机或双系统启动。

**方法一：**在powershell里，wsl -l -v查看安装在 Windows 计算机上的 Linux 发行版列表

**方法二：**在【开始】菜单里看到两个子系统，但其中一个要安装(22.04.1)，另一个可以直接启动(22.04.5)，所以使用的是22.04.5版本。

Windows 下的 wsl 子系统默认统一保存在目录\Users\[user]\AppData\Local\Packages

Wsl是微软开发的一项功能，允许运行linux发行版本

Ubuntu（iso是一个镜像文件）是一个完整的操作系统，基于linux内核，可以在物理机或虚拟机上运行

怎么分辨那个文件是那个版本？

检材2中，运行的数据库服务版本号是8.0.30

方法一直接看火眼

方法二，用wsl来看数据库版本信息（在wsl中安装ubuntu后，可以在ubuntu环境中安装和运行wysql，这样，你就可以在windows上使用linux环境来管理mysql）

因为wsl可以更好的模拟linux服务器环境。由于其开发了linux环境，所以数据库要在wsl中查看mysql --version查看版本

上述数据库debian-sys-maint用户的初始密码是 ZdQfi7vaXjHZs75M

方法一：

通过搜索得知

mysql的debian-sys-maint的初始密码保存在mysql目录的配置文件debian.cnf中

数据库是在wsl子系统中运行的，因此需要定位到子系统目录

C:\Users\Web King\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu20.04LTS_79rhkp1fndgsc\LocalState\rootfs

找到/etc/mysql/debian.cnf

检材3服务器root账号的密码是

方法一：

sshpass -p "h123456" ssh root@172.16.80.128

方法二：：**wsl的history中有ssh连接检材3的记录（不）

不懂

以上他说的我没看太懂

检材3中，监听33050端口的程序名（program name）为

可以看到进程是docker-proxy docker-proxy（代理）

在历史命令中发现嫌疑人进入了/data/mysql之后使用了docker-compose up

docker-compose 服务

强大工具，定义复杂应用程序，使用简单命令来管理他们。

docker-compose是一个用来定义和运行复杂应用的Docker工具，一个使用docker容器的应用，通常由多个容器组成，使用docker-compose不再需要使用shell脚本来启动容器，Compose通过一个**配置文件**来管理多个Docker容器，在配置文件中，所有的容器通过**services**来定义，然后使用docker-compose脚本来启动，停止和重启，适合组合使用多个容器进行开发的场景，docker-compose的配置文件：docker-compose.yml

首先把docker打开使用systemctl start docker

然后netstat -anptu命令查看当前运行的所有连接中的socket的情况

socket是网络通信端点，类似电话机，每个socket都有唯一的地址＋端口号，支持TCP和udp多种协议客户端服务器模型的通信模式，服务器监听某个端口，等待客户端连接，客户端主动发起连接请求，与服务器建立通信。

命令为Netstat -napt

-a: 显示所有连线中的Socket；

-p: 显示正在使用Socket的程序识别码和程序名称；

-n: 直接使用ip地址，而不通过域名服务器解析；

-t: 显示TCP传输协议的连线状况；

-u: 显示UDP传输协议的连线状况；