第七届精武杯

比赛总结：

这次比赛排名不是很好，主要是服务器部分没能看出到底应该怎么挂载，流量分析部分也是半蒙半猜对了6道，赛后复盘也感觉到服务器部分确实复杂，不过还是学到了很多东西，比如linux的更多命令，火眼，网探之间的配合运用（在火眼没能找到的shop1.zip能想到用网探连上服务器来找），然后也是进一步熟练了navicat的连接，服务器就是系统盘和数据盘的挂载（目前了解到的是有2种方法，一是像平航杯3个数据库，一一通过ftk 或csi的挂载，载虚拟机手动仿真二就是这次的通过raid重组3块数据盘，然后再仿真），再就是xshell的连接，在比赛的时候修改了dhcp然而当时没能连上，复盘时wp上都说要改配置，而我却又直接连服务器ip给连上了，然后计算机主要就是去重，这点我还是比较满意的，虽然比赛时没看这部分，但复盘的时候不看wp，充分利用天算平台和excel把计算机部分ak了，流量分析就是没很好掌握各种回显的含义，就像提权之后会出现命令行开头时/windows/system32

还有就是，看csm ，mysql版本花了很多时间，不懂含义，总的来说，还是要在比赛中不断沉淀

计算机部分

1. 请综合分析计算机和手机检材，计算机最近一次登录的账户名是

admin

2. 请综合分析计算机和手机检材，计算机最近一次插入的USB存储设备串号是

S3JKNX0JA05097Y

3. 请综合分析计算机和手机检材，谢弘的房间号是（）室

201

4. 请综合分析计算机和手机检材，曹锦芳的手机号后四位是

0683

5. 请综合分析计算机和手机检材，找到全部4份快递相关的公民信息文档，按姓名+电话+地址去重后共有多少条？

4997

6. 请综合分析计算机和手机检材，统计检材内共有几份购票平台相关的公民信息文档

3

7. 请综合分析计算机和手机检材，樊海锋登记的邮箱账号是

727875584@pp.com

8. 请综合分析计算机和手机检材，统计购票平台相关的文档，去重后共有多少条身份证号为上海的公民信息？109

美亚的天基老报错，那就用excel来去重过滤310得到1014-906+1=109

9. 请分析手机检材，2022年11月7日，嫌疑人发送了几条短信？3

10. 请分析手机检材，其中保存了多少条公民住房信息？

12

服务器部分

这部分当时比赛的时候真的是被干蓝了，之前的平航杯是3个服务器，分别都有一个系统盘和一个数据盘，通过ftk或csi挂载，清除盘符之后在虚拟机上手动建一个（管理员）实际上也是在挂载那步报错没能复盘，精武杯则是一个系统盘带3个数据盘，通过取证大师的挂载，然后仿真

添加设备，把三个数据盘挂上去，会弹出发现动态磁盘是否分析。点是。

之后弹出自动取证，取消掉，在证据那里右键raid5挂载为本地磁盘，然后在仿真大师挂载，先选server4

开始取证

1. 请对所给服务器检材进行分析，请 写 出 管 理 员 安 装“mdadm-4.1-9.el7_9.x86_64”的时间？（答案格式：18:18:18）（dadm 是 多磁盘和设备管理(Multiple Disk and Device Administration) 的缩写。它是一个命令行工具，可用于管理 Linux 上的软件 RAID 阵列。本文概述了使用它的基础知识。

这里我们用的是linux的rpm命令    --- rpm命令来自于英文词组”RedHat Package Manager“的缩写，中文译为红帽软件包管理器，其功能是用于在Linux系统下对软件包进行安装、卸载、查询、验证   Linux系统中rpm命令用法详解_linux rpm-CSDN博客 ）

13:13:01     rpm -qi ************

2. 请对所给服务器检材进行分析，请写出宝塔默认建站的目录是什么？（答案格式：/abc/def）

/data

3. 请对所给服务器检材进行分析，请写出ip为192.168.157.1的机器登陆失败的时间是什么时候？（答案格式：xxxx-xx-xx xx:xx:xx）

/var/log/btmp日志文件是记录错误登录的日志，就是说有很多人试图使用密码字典登录ssh服务，此日志需要使用lastb程序打开。即命令 lastb -F

2020.10.9 16:47:29

4. 请对所给服务器检材进行分析，写出网站的数据库root帐号密码？（答案格式：xxxx）

hl@7001(这里的密码说的是docker里mysql数据库的密码，打开docker之后使用inspect命令看以查看容器的具体信息包括完整id，配置、网络、挂载的卷，版本)

关于网站用的是宝塔的mysql还是docker的mysql，我们可以通过看端口解决docker的mysql端口是3307

接下来就是找网站的配置文件database.php来看端口是哪一个了

根据宝塔的默认建站目录为/data在服务器里发现有2023.cn对上了宝塔的根目录，显然我们是要把数据给他挂上去才能看到

、

命令fdisk -l能看到磁盘的详细信息其中/dev/sdb就是我们要挂的

mount /dev/sdb /data挂上之后

ls就能看到数据了依次进入到database.php发现是被加密的内容，base64加url

确定了网站使用的是3307端口，也就是用的docker mysql的数据库

5. 请对所给服务器检材进行分析，请分析网站后台管理员帐号的加密方式（答案格式：xx($xx.xxx($xxx)）

6. 请对所给服务器检材进行分析，网站首页友情链接中的“弘连网络“的更新时间是什么时候？（答案格式：xxxx-xx-xx xx:xx:xx）

7. 请对所给服务器检材进行分析，网站后台管理页面入口文件名是什么？（答案格式：xxx.php）

访问网站日志看到登录admin.php失败然后登陆了4008003721.php

登上这个页面

火眼    /data/2023.cn/public/4008003721.php

8. 请对所给服务器检材进行分析，网站数据库备份文件的sha256的值是多少？（答案格式：a656ac5f9e9d3bc2915aec31a5dfd0bd3bd3ef1ac497016dafae43669d7d6d22不区分大小写）

9DEDE75E455A7C4C5CC4B61E41570ADF82AF25251C5FD8456A637ADD864B0AF0

9. 请对所给服务器检材进行分析，网站数据库备份文件的解压密码是多少？（答案格式：xxxxxxx区分大小写）

22Ga#ce3ZBHV&Fr59fE#

10. 请对所给服务器检材进行分析，商城中“弘连火眼手机分析专用机MT510”商品的原价是多少？（只填写数字，精确到小数点后2位：9999.99）

一开始直接搜索是看不到的，在navicat运行压缩包的sql文件，刷新网站

1298000.00

流量分析

1. 请分析流量分析.pcapng文件，并回答入侵者的IP地址是？

192.168.85.130

2. 请分析流量分析.pcapng文件，并回答被入侵计算机中的cms软件版本是？(答案格式：1.1.1)

5.2.1(2023 年 15 个最佳和最受欢迎的 CMS 平台（比较） - 知乎 (zhihu.com))

开头为wp的为csm软件worldress,其访问了css文件，这条就能看出csm版本为5,2.1

3. 请分析流量分析.pcapng文件，并回答被入侵计算机中的MySQL版本号是？(答案格式：1.1.1)

这个我当时进入了一个源文件，里面有mysql版本

5.5.53

在http流里搜索version看到5.5.53

4. 请分析流量分析.pcapng文件，并回答被入侵计算机中的MySQL root账号密码是？

admin@12345

过滤http contains "phpmyadmin" && http.request.monthe=="POST"

当时看到一堆密码傻掉了，找了接近index.php的一个，复盘才发现是在爆破密码

5. 请分析流量分析.pcapng文件，并回答入侵者利用数据库管理工具创建了一个文件，该文件名为？

06b8dcf11e2f7adf7ea2999d235b8d84.php

6. 请分析流量分析.pcapng文件，并回答被入侵计算机中PHP环境禁用了几个函数？

10

7. 请分析流量分析.pcapng文件，并回答入侵者提权后，执行的第1条命令是？

dir

过滤 tcp contains "C:\\Windows\\system32>"

追踪第一条tcp流

8. 请分析流量分析.pcapng文件，并回答被入侵计算机开机时间是？

B、2019/6/13 18:50:33

更换为gbk编码

9. 请分析流量分析.pcapng文件，并回答被入侵计算机桌面上的文件中flag是？(答案格式：abcdef123456789)

3f76818f507fe7e66422bd0703c64c88

过滤tcp contians "desktop"

10. 请分析流量分析.pcapng文件，并回答图片文件中的flag是？ (答案格式：abcdef123456789)

d31c1d06331a9534bf41ab93afca8d31