【手机镜像】
1.分析嫌疑人手机检材,请确认嫌疑人“老大”的手机号为?(标准格式:15287006500)
19025057577
2.分析嫌疑人手机检材,请确认嫌疑人TG中好友个数为?(标准格 式:15)
从联系人里可以转到这个数据库,在数据库中user表中可以看到好友个数
39
3.分析嫌疑人手机检材,请确认嫌疑人虚拟币收款地址后4位为?(标 准格式:0xd9837f958d2ee523a2de6206994597c13d884ab4)
在与小开的聊天记录里能够找到
1ec7
4.分析嫌疑人手机检材,请推测TG好友“小开”在该犯罪团伙的角色为
A、话术人员 B、技术人员C、财务人员
C
5.分析嫌疑人手机检材,请确认嫌疑人2023-09-07 16:50:38到过哪个 省份为?(标准格式:江苏)
武汉
6.分析嫌疑人手机检材、请确认文件“账单.xls”的四位数字密码为? (标准格式:6523)
纯摸索
丢passware
2233
7.接上题,该表中记录的手机口总付款为?(标准格式:653btc)
5000usdt
【跳板服务器镜像】
1.分析跳板机服务器,确认跳板机的build版本为?(标准答案: 0000)
9600
2.分析跳板机服务器,登录过美洽客服的账号为?(标准格式:123@163.com)
从收藏里头可以转到源文件
524651939@qq.com
3.分析跳板机服务器,其中具有解密php文件等功能的解密工具md5 值为?(标准格式:E10ADC3949BA59ABBE56E057F20F883E)
78 61 51 4e 1f 17 fb fa 76 5f 4d 09 f3 08 fb c6
4.分析跳板机服务器,该跳板机连接的服务器IP为“174.137.53.148” 的root账号密码为?(标准格式:abc)
USXmA3XvG28h
5.分析跳板机服务器,查询2023年8月15日 21:06:19爆破攻击该服务 器的IP和端口为?(标准格式:192.168.1.1:11)
190.144.122.85:61712
6.跳板机服务器中存在记录远程连接公钥信息的文件,其文件名为? (标准格式:11.txt)
known_hosts.txt
7.接上题其公钥算法为?(标准格式:ase-34243)
ssh-ed25519
【业务服务器镜像】
在跳板机中能够看到两个ssh都是通过公钥链接
导出公钥在本机连接
通过命令可以找到网站配置文件
因为是两个终端,所以应该是站库分离
查看配置文件
1.分析业务服务器镜像,获取网站业务服务器的CentOS版本为?(标 准格式:7.1.1111)
7.5.1804
2.分析业务服务器镜像,确认业务服务器php环境的版本为?(标准 格式:1.1.11)
php -v
5.6.40
3.分析业务服务器镜像,查找数据库服务器数中的数据库定时备份为 每周的哪一天?(标准格式:星期三)
进宝塔看
能够看到计划任务为每周一
星期一
4.结合数据库备份文件分析,查询用户名“wy778899”被冻结金额为 ()。(格式:1000)
找数据库备份文件
在计划任务里能够看到zip密码
把数据库导入到本地
在wp_userinfo中最后一个能看到wy778899
25000
5、分析业务服务器镜像,已知注册码为125779,查找业务服务器中涉案网站 所使用的百度chat的siteId?(标准格式:12345678)
16054922
6、分析业务服务器镜像,涉案网站源码有可能从哪里获取到?(标准格式: 百度)
在wp_userinfo中看到有一个刀客资源网
刀客资源网
7、分析涉案服务器镜像,确认涉案网站管理后台的url路径为?(标准格 式:/abc/abc/abc.html)
/admin/login/login.html
8.其后台网站标题为?(标准格式:天美后台管理)
福汇后台系统
9.分析后台登录管理员登录模块,后台登录限制的白名单IP区间在 47.243.172.x到47.243.172.x,IP区间为?(标准格式:1-5)
被加密了
在跳板机中能够看到有微盾解密专家
所以进行微盾解密Php在线解美化、混淆、加密、解密 - 在线工具 (tool.lu)
中间就有白名单ip
97-100
10.分析后台管理员密码加密逻辑,倘若数据库中的”admin”管理员将明文密码 设置为“abc123”,则经过md5加密前的密码密文upwd值为?(标准格式: e10adc3949ba59abbe56e057f20f883e)
if($result['upwd'] == md5($data['password'].$result['utime'].config('admin_salt'))){
加密逻辑是密码+utime+admin_salt
admin的utime为1480061674
admin_salt为dgm07022
abc1231480061674dgm070229
11.以管理员账号“admin”登录后台,后台首页显示用户总余额为多少?(标准 格式:234663.5)
修改服务器地址
中间还需要进行数据库的绕密配置
然后通过数据库更换admin密码,如题10
566810.6
12.以管理员账号“admin”登录后台,USDT充币地址为?(标准格式: 0x561434F2348e6DcB69C0a3C0d1f1086c5c5832ab)
在数据库配置里能够找到
0x803084F2348e6DcB69C0a3C0d1f2086c5c5863ce