初次创作,内容质量欠缺,还请见谅
先将环境仿起来
1、对检材1分析,服务器SSH登录端口是多少?【答案格式:123456】
查看端口占用情况
netstat -lntp
可以看到sshd端口占用为62222
这个时候就可以知道ip,和端口可以连接一下服务器
我这边是同时挂上了finalshell和美亚的云取证工作台
2、对检材1分析,面板绑定宝塔账号是什么?【答案格式:13736678787】
19524203268
3、对检材1分析,系统用户chk02最后一次登录时间是什么?【答案格式:2020-01-01 12:33:33】
在finalshell里可以直接搜索
lastlog -u chk02
2022-06-06 14:12:22
4、对检材1分析,宝塔面板删除网站文件夹原路径在哪里?【答案格式:/www/abc/def.ghi】
宝塔面板有限制,所以要先清除宝塔面板登录限制
就可以登录进来了
账户密码在linux和云取证工作台都可以找到
在面板操作日志中可以看到回收站的地址
/www/wwwroot/www.chkinvest.hk
5、对检材1分析,Mysql数据库所属容器id是什么?(取id前12位)【答案格式:abc123456】
在取证大师中,能够看到id
5fa850f3e28a
6、对检材1分析,数据库容器Mysql的版本是多少?【答案格式:1.1.1】
开启docker后
进入容器
docker exec -it 5f /bin/bash
查看数据库版本
mysql -V
5.7.36
7、对检材1分析,数据库容器映射到外部使用的端口是什么?【答案格式:123456】
查看一下进程占用端口,能够看到docker现在占用的外部端口为13336
13336
8、对检材1分析,数据库容器登录密码是什么?【答案格式:abc@#123456】
先寻找一下数据库配置信息的地址
find / -name "database.php"
然后可以直接查看一下该文件
cat /www/wwwroot/www.chkinvest.hk/application/database.php
在这里面我们可以看到服务器密码
yunhui.#123qwe
9、对检材1分析,涉案网站绑定的监听端口是什么?【答案格式:123456】
在宝塔面板的网站里可以直接看到端口信息
9014
10、对检材1分析,涉案网站站点数据库连接配置文件名是什么?【答案格式:abc.php】
数据库配置文件名为第八题查找的文件
database.php
11、对检材1分析,客服账号kf01的邮箱地址是多少?【答案格式:abc@126.com】
我这边使用的是navicat进行数据库连接
一开始数据库连接不上,需要到宝塔面板修改权限
然后就可以登录上了
在mirrormx_customer_chat_user表中
305678@qq.com
12、对检材1分析,系统中设置了风控管理,当前指定亏损用户有几个?【答案格式:123456】
这时候我们还需要连接一个数据库,就是我们之前所找到的mysql数据库
链接上以后可以看一下jy数据库,因为在上面信息中能够看到数据库名为jy
在jy表中有一个wp_userinfo表,从中可以看见很多的账号密码
他的登录密码我们可以看出来是加密过的,于是我们可以通过md5解密进行解密
所以我们知道了他的密码
因此我们可以登录一下他的网站
发现登录不上去,他说用户名为六到十六位,但超级用户用户名只有五位,所以我们可以推测还存在一个后台网站
在原网址后面加了一个/admin就会重定向到一个新的网址
然后用账户密码登录就可以进来了
在风控管理中可以看到1022|1026两个用户是亏损的
2
13、对检材1分析,报案人黄娇娇总共盈利赚取多少钱?【答案格式:123456】
在用户管理能够找到黄娇娇,然后点击最右边自己管理可以跳转到资金报表
1100
14、对检材1分析,交易笔数最多的用户信息是哪个?【答案格式:abc】
在数据库里进行数据库语句查询
SELECT uid, COUNT(uid) AS order_count
FROM wp_order
GROUP BY uid
ORDER BY COUNT(uid) DESC
LIMIT 1;
查询出来1024的交易次数最多,在用户管理中可以查到1024是谢丽丽
谢丽丽
15、接上题,该用户亏损多少笔?【答案格式:123456】
可以直接在订单管理中找到
也可以去登录网站
先去查询谢丽丽的密码
查询到的密码为admin123
就能够登录上用户网站
在交易历史中可以数到亏的笔数为11笔
11
到此,题目就全部完成了,如果有需要镜像的可以直接私聊我