2024第四届长安杯，网络安全面试项目经验

systemctl start docker

继续，查看socket情况

netstat -napt

docker-proxy

21.[多选题] 除MySQL外，该网站还依赖以下哪种数据库

A. Postgresql
B. Redis
C. Oracle
D. MongoDB

方法一：历史记录

历史命令发现nohup了redis和mongo

方法二：配置文件

第9-10题对jar包的逆向分析中，我们从spring框架web应用程序的配置文件——**application.properties**文件中可以看到网站数据库依赖

同时还发现了172.16.80.128:33050的**jdbc配置信息**，也就是它docker中MySQL的登录配置信息。

22.检材3中，MySQL数据库root账号的密码是

方法一：从反编译的admin-api.jar包中可以得到答案

方法二：在docker-compose.yml配置文件中也能找到

方法三:利用查看镜像的元数据

docker inspect 8e

23. 检材3中，MySQL数据库在容器内部的数据目录为

docker-compose的yml文件。从历史记录分析可以得出嫌疑人曾经多次查看这个文件

得知此文件在目录/data/mysql里面，进入查看得知

数据目录为/var/lib/mysql

方法二：进docker mysql内部 查看一下配置文件

方法三：文本搜索

进入docker容器内部，搜索一下常见mysql的证据文件

find / -name *.frm

24.涉案网站调用的MySQL数据库名为

好在22题中，对jar包分析中找到了数据库进行jdbc连接时用的URL，其格式为**子协议://服务器名或IP地址:端口号/数据库名?参数=参数值**。由此知道该jdbc连接的是172.16.80.128:33050的b1数据库。

25.勒索者在数据库中修改了多少个用户的手机号？

这个时候找到检材2的D盘，在D盘中可以找到数据库b1，还能看到start.sh 和 start_web.sh两个启动脚本

此处有个删改的数据库的记录

提到数据库用户操作，那自然是找MySQL日志，首先用show variables where Variable_name='general_log_file';命令找到MySQL日志路径

查看数据库日志，通过第23题的分析，容器外部数据库目录是/data/mysql/，进去后直接找到数据库日志/data/mysql/db/8eda4cb0b452.log

2022-10-19T03:20:39.001499Z	   13 Query	UPDATE `b1`.`member` SET `mobile_phone` = '13638991111' WHERE `id` = 9
2022-10-19T03:20:41.851525Z	   13 Query	UPDATE `b1`.`member` SET `mobile_phone` = '13282992222' WHERE `id` = 10
2022-10-19T03:20:44.184953Z	   13 Query	UPDATE `b1`.`member` SET `mobile_phone` = '13636993333' WHERE `id` = 11

26. 勒索者在数据库中删除的用户数量为

搜索关键词delete即可，计数28条，id=973到1000，大概浏览一下发现全是删除用户的，没有掺杂其他干扰项。

另外一种方法是直接对数据库b1进行推断

在检材2中的D盘下，我们找到了删掉的b1数据库文件。利用数据库分析工具直接对其分析

用工具打开数据库文件之后，发现了三个表与题目关联度比较大，一个是交易记录，第二一个是用户钱包，第三一个是用户表。比对分析发现用户表的数据量比用户钱包少了28个，初步怀疑是被删除了。

进一步分析发现id为973-1000的用户被删掉了

27.还原被破坏的数据库，分析除技术员以外，还有哪个IP地址登录过管理后台网站？用该地址解压检材4

检材3中的网站后台数据库b1都被删除了，检材2中有备份

对检材2中的b1数据库用弘连自带的工具直接进行数据库分析，admin_access_log表中只有172.16.80.100和172.16.80.197两个ip