2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证部分2

接上回

29：【服务器取证】分析涉案服务器，请给出涉案服务器的内核版本？[答案格式：xx.xxx-xxx.xx.xx]
 

3.10.0-957.e17.x86_64

将服务器镜像仿真

uname -r

30：【服务器取证】分析涉案服务器，请给出MySQL数据库的root账号密码？[答案格式：Admin123]

bad11d923939ca2dcf

但是看有的wp说是这个

31：【服务器取证】分析涉案服务器，请给出涉案网站RDS数据库地址？[答题格式: xx-xx.xx.xx.xx.xx]

pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com

32：【服务器取证】请给出涉网网站数据库版本号? [答题格式: 5.6.00]

 5.7.40

我看其他wp到这里就开始恢复数据库了

但我在火眼里面找到了

但是后面的题目也要用到恢复数据库

所以借鉴一下别人的wp恢复数据库

数据库恢复

参考：2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解 | CTF导航

在终端进入数据库

发现只有4个原本的数据库

检材里面给了一个xb文件

参考阿里云Mysql5.7 数据库恢复 qp.xb文件恢复数据_数据库备份qp文件如何还原-CSDN博客

先下载qpress

# 下载文件
wget "http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/183466/cn_zh/1608011575185/qpress-11-linux-x64.tar"

# 解压缩下载的tar文件
tar xvf qpress-11-linux-x64.tar

# 改变qpress的执行权限为775
chmod 775 qpress

# 将qpress可执行文件复制到/usr/bin目录下，使其可以在系统中被使用
cp qpress /usr/bin

下载xtrabackup

wget https://www.percona.com/downloads/XtraBackup/Percona-XtraBackup-2.4.9/binary/redhat/7/x86_64/percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm

安装xtrabackup和MySQL 5.7 数据库

# 安装 Percona XtraBackup 工具
yum install -y percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm
# 这一行使用 yum 包管理器安装了 Percona XtraBackup 工具。
# "-y" 参数表示在安装过程中不需要人工确认，直接进行安装。

# 安装 MySQL 5.7 数据库
wget -i -c http://dev.mysql.com/get/mysql57-community-release-el7-10.noarch.rpm
# 这一行使用 wget 下载了 MySQL 5.7 的软件源配置文件 mysql57-community-release-el7-10.noarch.rpm。
# "-i" 参数表示从指定文件中读取 URL 列表进行下载，"-c" 参数表示断点续传以便在下载过程中断后能够从上次中断处继续下载。

yum -y install mysql57-community-release-el7-10.noarch.rpm
# 这一行使用 yum 安装了 MySQL 5.7 的软件源配置文件 mysql57-community-release-el7-10.noarch.rpm。

yum -y install mysql-community-server
# 这一行使用 yum 安装了 MySQL 5.7 数据库服务器软件包 mysql-community-server。

现在工具都安装好了

用xftp把xb文件放到服务器上

怎么用xftp2024年了！！Xftp新手的下载和安装教程（超详细），以及演示了远程登录和远程文件传输-CSDN博客 

我在这里 重命名  为1.xb 方便以后调用

将文件解压缩

并放到/www/server/data路径中

cat 1.xb | xbstream -x -v -C /www/server/data

进入路径

cd /www/server/data

使用 innobackupex 工具对指定目录中的备份文件执行解压缩操作，并在解压缩完成后移除原始备份文件

innobackupex --decompress --remove-original /www/server/data

复原备份文件

innobackupex --defaults-file=/etc/my.cnf --apply-log /www/server/data

我这里报错了问gpt说是

我还没有整好

将 /www/server/data 目录及其所有子目录和文件的所有者和所属组都改变为 mysql:mysql，以确保 MySQL 数据库服务器能够正确访问和操作这些文件

chown -R mysql:mysql /www/server/data

vim /etc/my.cnf#在[mysqld]块下添加lower_case_table_names=1

到这步就恢复完了

这里可以看到数据库已经被重构了

去phpadmin里面

33：【服务器取证】请给出嫌疑人累计推广人数？[答案格式：100]

69

这个网站还是报错

我们来重构一下

把数据库的配置改一下

在火眼计算机分析时找到了后台登陆网站

没有密码

我们去后台修改代码逻辑

这里把代码改成对了就报错

任意密码就能登陆进去

34：【服务器取证】请给出涉案网站后台启用的超级管理员?[答题格式:abc]

root

35：【服务器取证】投资项目“贵州六盘水市风力发电基建工程”的日化收益为？[答题格式:1.00%]

我这里数据库重构一部分失败了

打不开需要的表

没找到原因

略

36：【服务器取证】最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]

122.96.34.60

37：【服务器取证】分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]

20

38：【服务器取证】分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]

2

SELECT * FROM `member` WHERE bankaddress LIKE '%上海%'

39：【服务器取证】分析涉案网站数据库或者后台，统计嫌疑人的下线成功提现多少钱？[答题格式:10000.00]

12857.00

40:【服务器取证】分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人？[答题格式:123]

17

SELECT COUNT(*) FROM `member` WHERE inviter = '513935'

41:【服务器取证】分析涉案网站数据库或者后台网站内下线大于2的代理有多少个？[答题格式:10]

60

SELECT COUNT(*) AS inviter_count, `inviter` FROM `member` GROUP BY `inviter` HAVING COUNT(*) > 2;

42:【服务器取证】分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]

骆潇原 SELECT COUNT(*) AS inviter_count, `inviter` FROM `member` GROUP BY `inviter` ORDER BY inviter_count DESC

查询真实姓名

SELECT realname FROM `member` WHERE invicode = 617624；

43:【服务器取证】分析涉案网站数据库或者后台流水明细，本网站总共盈利多少钱[答题格式:10,000.00]