systemctl start docker
继续,查看socket情况
netstat -napt
docker-proxy
21.[多选题] 除MySQL外,该网站还依赖以下哪种数据库
A. Postgresql
B. Redis
C. Oracle
D. MongoDB
方法一:历史记录
历史命令发现nohup了redis和mongo
方法二:配置文件
第9-10题对jar包的逆向分析中,我们从spring框架web应用程序的配置文件——**application.properties**文件中可以看到网站数据库依赖
同时还发现了172.16.80.128:33050的**jdbc配置信息**,也就是它docker中MySQL的登录配置信息。
22.检材3中,MySQL数据库root账号的密码是
方法一:从反编译的admin-api.jar包中可以得到答案
方法二:在docker-compose.yml配置文件中也能找到
方法三:利用查看镜像的元数据
docker inspect 8e
23. 检材3中,MySQL数据库在容器内部的数据目录为
docker-compose的yml文件。从历史记录分析可以得出嫌疑人曾经多次查看这个文件
得知此文件在目录/data/mysql
里面,进入查看得知
数据目录为/var/lib/mysql
方法二:进docker mysql内部 查看一下配置文件
方法三:文本搜索
进入docker容器内部,搜索一下常见mysql的证据文件
find / -name *.frm
24.涉案网站调用的MySQL数据库名为
好在22题中,对jar包分析中找到了数据库进行jdbc连接时用的URL,其格式为**子协议://服务器名或IP地址:端口号/数据库名?参数=参数值**。由此知道该jdbc连接的是172.16.80.128:33050
的b1数据库。
25.勒索者在数据库中修改了多少个用户的手机号?
这个时候找到检材2的D盘,在D盘中可以找到数据库b1,还能看到start.sh 和 start_web.sh两个启动脚本
此处有个删改的数据库的记录
提到数据库用户操作,那自然是找MySQL日志,首先用show variables where Variable_name='general_log_file';
命令找到MySQL日志路径
查看数据库日志,通过第23题的分析,容器外部数据库目录是/data/mysql/,进去后直接找到数据库日志/data/mysql/db/8eda4cb0b452.log
2022-10-19T03:20:39.001499Z 13 Query UPDATE `b1`.`member` SET `mobile_phone` = '13638991111' WHERE `id` = 9
2022-10-19T03:20:41.851525Z 13 Query UPDATE `b1`.`member` SET `mobile_phone` = '13282992222' WHERE `id` = 10
2022-10-19T03:20:44.184953Z 13 Query UPDATE `b1`.`member` SET `mobile_phone` = '13636993333' WHERE `id` = 11
26. 勒索者在数据库中删除的用户数量为
搜索关键词delete
即可,计数28条,id=973到1000,大概浏览一下发现全是删除用户的,没有掺杂其他干扰项。
另外一种方法是直接对数据库b1进行推断
在检材2中的D盘下,我们找到了删掉的b1数据库文件。利用数据库分析工具直接对其分析
用工具打开数据库文件之后,发现了三个表与题目关联度比较大,一个是交易记录,第二一个是用户钱包,第三一个是用户表。比对分析发现用户表的数据量比用户钱包少了28个,初步怀疑是被删除了。
进一步分析发现id为973-1000的用户被删掉了
27.还原被破坏的数据库,分析除技术员以外,还有哪个IP地址登录过管理后台网站?用该地址解压检材4
检材3中的网站后台数据库b1都被删除了,检材2中有备份
对检材2中的b1数据库用弘连自带的工具直接进行数据库分析,admin_access_log表中只有172.16.80.100和172.16.80.197两个ip