先来看一看案件的背景:
某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗,该网站号称使用“USTD 币”购买所谓的“HT 币”,受害人充值后不但“HT 币”无法提现、交易,而且手机还被恶意软件锁定勒索。警方根据受害人提供的虚拟币交易网站调取了对应的服务器镜像并对案件展开侦查。
本次wp参照了大佬的博客:大佬博客!!!
检材一
1、检材1的SHA256值为:
用取证大师直接计算:
2、
3、
用火眼仿真就直接能看出来
或者是直接可以仿真后用命令查看:cat /etc/redhat-release
4. 检材1系统中,网卡绑定的静态IP地址为
如图所示
172.16.80.133
(大型补充现场:在这里我学到了连接工具的方法(不管是windterm和XShell都很好使!!)主要是为了看命令之类的都会很方便,还是好好学习一下!!)
在这里我们知道了主机的IP,是在172网段。接下来我们对虚拟机网络进行设置:
将网络模式更改为NAT模式,将子网IP设置为172.16.80.0(与虚拟主机一个网段),然后再对DHCP进行设置:
保存后等待生效,用windterm直接可以ssh连接成功。连接上后如图所示:
(含泪感谢大佬QAQ)
5. 检材1中,网站jar包所存放的目录是(答案为绝对路径,如“/home/honglian/”)
找不到咱就直接搜,如图:
\web\app\jdk1.8.0_181\bin\jar
6. 检材1中,监听7000端口的进程对应文件名为
先推荐一个java的反编译工具:JD GUI
在看历史命令记录的时候,我们会发现在同一个路径下的jar包有很多个,这个时候我们在没有办法(我没有办法)启动起网站的时候(因为发现和网站相关的很多文件被删除了),可以进入路径中对其一个一个的进行分析。最后我们发现,在cloud.jar文件中,发现了和7000端口有关的东西。
现在就可以看出,7000端口的进程对应文件名是cloud.jar
7. 检材1中,网站管理后台页面对应的网络端口为(答案填写阿拉伯数字,如“100”)
用证据分析软件分析检材,发现有一个网址是后台管理页面
黑客搭建网站之后肯定会留下维护登录记录,9090就是后台管理界面的网络端口号
8. 检材1中,网站前台页面里给出的APK的下载地址是(答案格式如下:“https://www.forensix.cn/abc/def”)
找不到等会说
9. 检材1中,网站管理后台页面调用的用户表(admin)里的密码字段加密方式为?
C
10. 分析检材1,网站管理后台登录密码加密算法中所使用的盐值是
检材二
根据IP地址落地及后续侦查,抓获了搭建网站的技术员,扣押了其个人电脑并制作镜像“检材2”,分析所有掌握的检材回答下列问题
11. 检材2中,windows账户Web King的登录密码是
在解压了检材二之后,我们用某仿真系统直接打开,就会跳出一个提示,是否还要保存Web King的登录密码
这个时候我们就可以知道这个用户的登录密码是135790
12. 检材2中,除检材1以外,还远程连接过哪个IP地址?并用该地址解压检材3
172.168.80.128
找到了两个网址,尝试了一下,就是这个网址
13. 检材2中,powershell中输入的最后一条命令是
ipconfig
具体在哪里找到的记不得了,反正不要把他和linux的命令弄混!!!!
14. 检材2中,下载的涉案网站源代码文件名为
没找到,真无语
15. 检材2中,网站管理后台root账号的密码为
root
如图
16. 检材2中,技术员使用的WSL子系统发行版本是(答案格式如下:windows 10.1)
Ubuntu 20.04