进入docker容器内部,搜索一下常见mysql的证据文件
find / -name *.frm
24.涉案网站调用的MySQL数据库名为
好在22题中,对jar包分析中找到了数据库进行jdbc连接时用的URL,其格式为**子协议://服务器名或IP地址:端口号/数据库名?参数=参数值**。由此知道该jdbc连接的是172.16.80.128:33050
的b1数据库。
25.勒索者在数据库中修改了多少个用户的手机号?
这个时候找到检材2的D盘,在D盘中可以找到数据库b1,还能看到start.sh 和 start_web.sh两个启动脚本
此处有个删改的数据库的记录
提到数据库用户操作,那自然是找MySQL日志,首先用show variables where Variable_name='general_log_file';
命令找到MySQL日志路径
查看数据库日志,通过第23题的分析,容器外部数据库目录是/data/mysql/,进去后直接找到数据库日志/data/mysql/db/8eda4cb0b452.log
2022-10-19T03:20:39.001499Z 13 Query UPDATE b1
.member
SET mobile_phone
= ‘13638991111’ WHERE id
= 9
2022-10-19T03:20:41.851525Z 13 Query UPDATE b1
.member
SET mobile_phone
= ‘13282992222’ WHERE id
= 10
2022-10-19T03:20:44.184953Z 13 Query UPDATE b1
.member
SET mobile_phone
= ‘13636993333’ WHERE id
= 11
26. 勒索者在数据库中删除的用户数量为
搜索关键词delete
即可,计数28条,id=973到1000,大概浏览一下发现全是删除用户的,没有掺杂其他干扰项。
另外一种方法是直接对数据库b1进行推断
在检材2中的D盘下,我们找到了删掉的b1数据库文件。利用数据库分析工具直接对其分析
用工具打开数据库文件之后,发现了三个表与题目关联度比较大,一个是交易记录,第二一个是用户钱包,第三一个是用户表。比对分析发现用户表的数据量比用户钱包少了28个,初步怀疑是被删除了。
进一步分析发现id为973-1000的用户被删掉了
27.还原被破坏的数据库,分析除技术员以外,还有哪个IP地址登录过管理后台网站?用该地址解压检材4
检材3中的网站后台数据库b1都被删除了,检材2中有备份
对检材2中的b1数据库用弘连自带的工具直接进行数据库分析,admin_access_log表中只有172.16.80.100和172.16.80.197两个ip
检材1的登录ip是172.16.80.100,这个ip是技术员。那么172.16.80.197就是答案,这个ip应该是老板的ip
28.还原全部被删改数据,用户id为500的注册会员的HT币钱包地址为
用工具打开之后直接找到用户钱包的数据,然后找到了id=500
的钱包地址
cee631121c2ec9232f3a2f028ad5c89b
29.还原全部被删改数据,共有多少名用户的会员等级为’LV3’
通过member_grade这个表了解到等级是三的用户的grade_code=3