话不多说,案情👇
1 检材 1 的操作系统版本是(D)
A. CentOS release 6.5 (Final)
B. Ubuntu 16.04.3 LTS
C. Debian GNU/Linux 7.8 (wheezy)
D. CentOS Linux release 7.6.1810 (Core)
2 检材 1 中,操作系统的内核版本是(3.10.0)
(答案格式:“1.2.34” 数字和半角符号)
3 检材 1 中磁盘包含一个 LVM 逻辑卷,该 LVM 开始的逻辑区块地址(LBA)是(2099200)
(答案格式:“12345678” 纯数字)
fdisk -l
4 检材 1 中网站“www.kkzjc.com”对应的 Web 服务对外开放的端口是(32000)
(答案格式:“123456” 纯数字)
搜了一下,直接看到路径
进入后发现端口
5 检材 1 所在的服务器共绑定了(3)个对外开放的域名
(答案格式:“123” 纯数字)
进入刚才路径发现三个域名
6 检材 1 所在的服务器的原始 IP 地址是(192.168.99.3)
(答案格式:“172.172.172.172” 半角符号)
这题不用着急,下面肯定有连接这台服务器的记录,解析在第9题
7嫌疑人曾经远程登录过检材 1 所在的服务器,分析并找出其登录使用的 IP 地址是(192.168.99.222)(并使用该地址解压检材 2)(答案格式:“172.172.172.172” 半角符号)
ast命令查看登陆情况,发现有192.168.120.1和192.168.99.222两个IP。尝试解压检材二发现192.168.99.222为正确答案。192.168.120.1的作用应该会在后文体现
8检材 1 所在的服务器,其主要功能之一为反向代理。找出“www.kkzjc.com”转发的后台网站所使用的 IP 地址是(192.168.1.176)(并用该 IP 地址解压检材 3)(答案格式:“172.172.172.172” 半角符号)
查看该网站配置文件发现代理到本机8091端口
但查看端口发现8091没开。。。。。
翻翻历史命令,发现docker,怀疑docker作怪👇
果然👆,启docker,看配置文件(/etc/nginx/conf.d)👇,发现docker又反向代理到192.168.1.176的80端口
9 嫌疑人曾经从题 7 的 IP 地址,通过 WEB 方式远程访问过网站,统计出检材 1 中该 IP 出现的次数为(18)(答案格式:“888” 纯数字)
此题刚做时也没找到好办法,后来发现可以通过查看docker logs看访问日志。
docker logs 08 | grep 192.168.99.222 –c
同时通过post方式,可以发现该服务器原始ip,即第6题答案
警方找到了嫌疑人使用的个人 PC(检材 2.zip),请使用第 7 题的答案作为密码解压检材 2,分析并回答下列问题:
10 检材 2 的原始磁盘 SHA256 值为
(2D926D5E1CFE27553AE59B6152E038560D64E7837ECCAD30F2FBAD5052FABF37)(答案格式:“abcdefg” 不区分大小写)
11 检材 2 所在计算机的 OS 内部版本号是(18363)
(答案格式:“12345.7895” 半角符号)
12 检材 2 所在计算机最后一次正常关机的时间为(2020-09-22 13:15:34)
(答案格式:“1970-10-01 10:01:45” 精确到秒,半角符号)
13 检材 2 中,VMware 程序的安装时间为(2020-09-18 17:54)
(答案格式:“2020-01-01 21:35” 精确到分钟,半角符号)
安装日期即安装程序运行日期
14 检材 2 中,Vmware.exe 程序总计启动过(8)次
(答案格式:“5” 纯数字)
15 嫌疑人通过 Web 方式,从检材 2 访问检材 1 所在的服务器上的网站时,连接的目标端口是(8091)(答案格式:“12345” 纯数字)
看浏览器访问记录
16 接 15 题,该端口上运行的进程的程序名称(Program name)为(docker-proxy)
(答案格式:“avahi-deamon” 字母和半角符号组合)
在检材一查看端口
17 嫌疑人从检材 2 上访问该网站时,所使用的域名为(www.sdhj.com)
(答案格式:“www.baidu.com” 半角符号)
上上题图👆
18 检材 2 中,嫌疑人所使用的微信 ID 是(sstt119999)
(答案格式:“abcde8888” 字母数字组合)
找到手机压缩包,分析
题目提示数字和字母
19 分析检材 2,嫌疑人为推广其网站,与广告位供应商沟通时使用的通联工具的名称为(Telegram)
(答案格式:“Wechat” 不区分大小写)
翻就完事了
20 分析检材 2,嫌疑人使用虚拟货币与供应商进行交易,该虚拟货币的名称是(dogecoin)
(答案格式:“bitcoin” 不区分大小写)
聊天记录图片中有
21上述交易中,对方的收款地址是(DPBEgbwap7VW5HbNdGi9TyKJbqTLWYYkvf)
(答案格式:“abC1de3fghi” 大小写字母数字组合)
上题图👆
22上述交易中,嫌疑人和供应商的交易时间是()
(答案格式:“2020-01-01 21:35:54” 精确到秒,半角符号)
23上述交易中,嫌疑人支付货币的数量为()
(答案格式:“8888” 纯数字)
22、23两题可以通过上网输入付款地址查询,但现在已经查不了了,具体时间及数量看不到
24 检材 2 中,嫌疑人使用的虚拟机的虚拟磁盘被加密,其密码为(zzzxxx)
(答案格式:“aoeiou”小写字母)
仿真后打开VMware workstation,看到虚拟机位置
通过虚拟机解密脚本解密
pyvmx-cracker.py -v 1.vmx -d passwd.txt
获得密码后,把加密取消后可以分析了
25 检材 2 中,嫌疑人发送给广告商的邮件中的图片附件的 SHA256 值为(CC7EA3AB90AB6B28417E08C715C243CE58EA76D71FD141B93F055A58E9BA561A);(忽略邮件状态)
(答案格式:“abcdefg” 小写字母)
26 检材 2 中,嫌疑人给广告商发送广告图片邮件的发送时间是(2020-09-20 12:53)(忽略邮件状态)
(答案格式:“2020-01-01 21:35” 精确到分钟,半角符号)
27 检材 2 中,嫌疑人的邮箱密码是(honglian7001)
(答案格式:“abcde123456” 字母符号数字组合,区分大小写)
28 检材 2 中,嫌疑人使用了(xshell)远程管理工具,登录了检材 1 所在的服务器。
(答案格式:“abcde” 字母,不区分大小写)
分析时发现了xshell
29 检材 2 中,嫌疑人使用上述工具连接服务器时,使用的登录密码为(qwer1234!@#$)
(答案格式:“aBcd#123” 数字符号字母组合,区分大小写)
上题图👆
请使用第 8 题的答案作为密码解压检材 3,分析并回答下列问题
30 检材 3 的原始磁盘 SHA256 值为(FF593FCCB3770B8845A3334631F8E80807638EE722C5AA7B34E877589857C3BA)
(答案格式:“abcdefg” 不区分大小写)
31检材 3 所在的计算机的操作系统版本是(C)
A. Windows Server 2012
B. Windows Server 2008 R2
C. Windows Server 2008 HPC Edition
D. Windows Server 2019 LTSB
32 检材 3 中,部署的网站名称是(card)
(答案格式:“abcdefg” 小写字母)
仿真检材三,发现iis服务器。👇
33 检材 3 中,部署的网站对应的网站根目录是(c:\inetpub/wwwroot\v7w)
(答案格式:“d:\path1\path2\path3” 绝对路径,半角符号,不区分大小写)
上题图👆
34 检材 3 中,部署的网站绑定的端口是(80)
(答案格式:“12345” 纯数字)
上上题图👆
35 检材 3 中,具备登陆功能的代码页,对应的文件名为(dllogin.aspx)
(答案格式:“index.html” 字母符号组合,不区分大小写)
翻翻网站默认根目录下default.aspx能看到登陆页面代码文件位置
👇
36检材 3 中,请对网站代码进行分析,网站登录过程中,代码中对输入的明文密码作了追加(0v0)字符串处理(答案格式:“a1b2c3d4” 区分大小写)
登录过程中,就看登陆文件,打开后发现下面这行👇
37检材 3 中,请对网站代码进行分析,网站登录过程中,代码中调用的动态扩展库文件的完整名称为(App_Web_dllogin.aspx.7d7c2f33.dll)(答案格式:“abc.html.ABC” 区分大小写,半角符号,包含扩展名)
在登陆页面(dllogin.aspx)文件中可看👇
38检材 3 中,网站登录过程中,后台接收到明文密码后进行加密处理,首先使用的算法是 Encryption 中的(AESDecrypt)函数
(答案格式:“Bcrypt” 区分大小写)
对文件夹中的内容检索一下,发现下面这个dll文件可能有Encryption方法
用dnspy分析该dll文件,登录过程中,所以搜索登陆页面dllogin,然后发现Encryption方法
进Encryption方法后发现AESDecrypt函数
39 检材 3 中,分析该网站连接的数据库地址为(192.168.1.174)并使用该地址解压检材 4
(答案格式:“172.172.172.172” 半角符号)
分析登陆页面dll文件,就是不断找和数据库连接地方
发现DUserLogin函数,又发现DBcon类
怀疑括号内的长字符串就是数据库信息,再次两种方法解密
第一种方法,先base64解密,再AES解密,解密时要注意空位用空格补齐
第二种方法,因为iis架设在windows,所以也可以用本地windows的powershell引用类解密,发现他引用了DBManager,于是先引入DBManager类,用这个类去解密,但要注意格式
40 检材 3 中,网站连接数据库使用的密码为(c4f2737e88)(答案格式:“Abc123!@#” 字母数字符号组合,区分大小写)
上题图👆
41 检材 3 中,网站连接数据库服务器的端口是(1433)
(答案格式:“12345” 纯数字)
上上题图👆
请使用第 39 题的答案作为密码解压检材 4,分析并回答下列问题
42 检材 4 的原始磁盘 SHA256 值为(E5E548CCAECD02608A0E053A5C7DCDBFBDD4BE5B0E743EB9DC8E318C369BEBC8)
(答案格式:“abcdefg” 不区分大小写)
43重构该网站,分析嫌疑用户的推广链接中参数里包含的 ID 是(abe6d2ee630379c3)
(答案格式:“a1b2c3d4” 字母数字组合,小写)
重构网站很麻烦。。。。。把数据库服务器启起来后,因为调用的dll文件涉及ip就是1.174,因此需要把数据库服务器ip改好,而且查看历史把docker启起来。
连数据库时连不上可以尝试重启数据库服务器
在TD_User表中发现用户名和密码,但admin起始被禁用了。真正的管理员账号时liwente1314520。
但密码加密方式在刚才dll文件中看过了,AES+MD5。。。。
但看输入密码后有弹出密码错误提示,结合之前dll文件,可以把加密密码直接弹出来
把报错改成text2
导出的dll文件导进检材3服务器内,在进网站输入密码,输入654321
弹出的值就是加密过后的密码,直接改进数据库里
但此时还是进不去。。。其实代码审计过程中应该发现👇
有域名白名单。。。。在TD_webs中,需要把访问域名加进去
如下👇
这把就能通过密码654321进来了
放进去找ID,翻就完事了
44重构该网站,该网站后台的代理用户数量为(26)
(答案格式:“12345” 纯数字)
数数📕
45重构该网站,该网站注册用户中共有过(32)个代理(包含删除的数据)
(答案格式:“12345” 纯数字)
就是问这个网站包括删除用户,一共有多少用户注册过,在TU_User表中
46重构该网站,对补发记录进行统计,统计 2019 年 10 月 1 日后补发成功的金额总值(138408)
(答案格式:“123456” 纯数字)
这题比较坑。。。一共83页记录,手撸很难算对,而且这个网站记录不能导出。。。。。可以写个爬虫,或者用工具算👇,在这就不算了,答案是138408
47 检材 4 中,对“TX_IpLog”表进行分析,所有在“武汉市”登录的次数为(2829)
(答案格式:“” 纯数字)
先把武汉筛出来,发现一共2页多829条,满页1000条,所以一共2829条
48重构该网站,该嫌疑人下属代理“liyun10”账户下的余额有(1066449)元
(答案格式:“123456” 纯数字)
代理中找到liyun10,没法查看余额。。
发现有后台,后台登陆时域名还要加上ip
登陆成功后可以查看余额👇
49 接上一题,该用户的推广 ID 是(d0fdd7a9a010d37e)
(答案格式:“a1b2c3d4” 字母数字组合,小写)
翻👇
50 接上一题,该代理商户的最后一次登陆时间是(2016-09-05 17:09:13)
(答案格式:“2020-01-01 21:35” 精确到秒,半角符号)
欢迎各位大佬前来交流~