简单的服务器取证

已于 2024-02-19 21:02:17 修改
阅读量1.6k 收藏 39
点赞数 34
分类专栏: Forensics 文章标签: 服务器 网络 网络安全 数据分析
于 2024-02-14 22:55:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74559567/article/details/136116870
版权

一次简单的服务器取证入门
检材:https://pan.baidu.com/s/1T_OBlqe–7C-sfYhYyMZjQ?pwd=8e19

目录

1、系统的内核版本

在这里插入图片描述

3.10.0-693.el7.x86_64

2、系统的历史命令第32条

在这里插入图片描述

rm WhatsNew.txt

3、SSH服务的开放端口

对镜像进行仿真

在这里插入图片描述

  • 使用火眼来仿真,系统默认的网络接口配置文件是BOOTPROTO=static,也就是静态IP地址。

    • 做题的时候要改为dhcp,这题的网络接口配置文件在 /etc/sysconfig/network-scripts/ifcfg-ens33,一般也是在/etc/sysconfig/network-scripts目录下 ; 虚拟机的网络适配器是仅主机模式下

    在这里插入图片描述

    成功变成动态的IP

    在这里插入图片描述

    • 或者在VM的 编辑 --> 虚拟网络编辑器 --> 都改成110的同网段 ;虚拟机 --> 设置 --> 网络适配器 --> NAT模式 ;改为dhcp

    在这里插入图片描述
    在这里插入图片描述

    在这里插入图片描述

    下图就是BOOTPROTO=static,静态IP

    在这里插入图片描述

  • 使用美亚的仿真,系统默认的网络接口配置文件是BOOTPROTO=dhcp,就不用进行更改了

netstat -lnpt

在这里插入图片描述

端口也知道了,就可以进行ssh连接

2222

4、宝塔面板的用户名

在这里插入图片描述

root

5、宝塔面板的端口号

上图

8888

6、面板上的网站域名

在这里插入图片描述

ypzxw.local

7、面板是否开启了SSL服务

这里进行宝塔的登录,只知道用户名是root,不知道密码,加上宝塔的版本是旧版本,使用以下的命令进行改密码,改为123456

cd /www/server/panel && python tools.py panel 123456

进入宝塔面板,在网站中能找到SSL服务
在这里插入图片描述

8、面板别名是什么

在这里插入图片描述

控制面板

9、系统所使用的web服务是什么

netstat -lnpt

nginx

10、网站所用的mysql服务版本(x、x、xx)

在这里插入图片描述

5.6.37

11、网站数据库名称

在这里插入图片描述

ypzxw

12、接上问,数据库root密码是什么

在这里插入图片描述
在终端中修改数据库root密码的命令

cd /www/server/panel && python tools.py root 123456

b86551ee7ffc7eb5

13、网站管理员账号用户名

在这里插入图片描述

admin

14、网站默认端口

在这里插入图片描述

80

15、登录网站的密码加密盐值是否固定,若固定,请给出盐值

Tip:加密盐值

MD5('密码' + 'salt(盐值)' )= '密文'

也有可能是SHA加密的方式

要做这题就要分析源代码了

结合题目使用了加盐的方式,得知关键词salt

用火眼的全局搜索

在这里插入图片描述

知道了关于这个代码的文件/www/wwwroot/includes/functions.inc.php

对加密方式进行分析

/**
 * generates password hash
 *
 * @param string $pw
 * @return string
 */
function generate_pw_hash($pw)
 {
  $salt = random_string(10,'0123456789abcdef');
  $salted_hash = sha1($pw.$salt);
  $hash_with_salt = $salted_hash.$salt;
  return $hash_with_salt;
 }

盐值是从0123456789abcdef中随机抽取10个,所以加密盐值是不固定的

不固定

16、网站帖子总数为多少

在这里插入图片描述

登录后台进行确认

首先要设置hosts文件,路径:C:\Windows\System32\drivers\etc,
在最后加上一行

[IP] [域名]

在这里插入图片描述

这里的后台页面不是要找到某一个目录,用扫描软件是行不通的,要直接登录管理员账号;

从第15题里分析的那段加密代码下面就是验证密码的方式了,验证密码的方式是哈希值的比对

/**
 * checks password comparing it with the hash
 *
 * @param string $pw
 * @param string $hash
 * @return bool
 */
function is_pw_correct($pw,$hash)
 {
  if(strlen($hash)==50) // salted sha1 hash with salt
   {
    $salted_hash = substr($hash,0,40);
    $salt = substr($hash,40,10);
    if(sha1($pw.$salt)==$salted_hash) return true;
    else return false;
   }
  elseif(strlen($hash)==32) // md5 hash generated in an older version
   {
    if($hash == md5($pw)) return true;
    else return false;
   }
  else return false;
 }

管理员的密码似乎难以破解,这时我们可以直接改源码

这段代码的意思是将输入的密码加密成哈希值然后和后台数据的哈希值进行比对,一样才能成功登录

这里改验证的源码方法有两种:

  1. true改为false
  2. ==改为!=

在这里插入图片描述

或者是

在这里插入图片描述

接下来就可以随意的输入密码了

查看帖子数和注册用户

34

17、网站总共有多少注册用户

3481

18、管理员性别

看身份证倒数第二位,偶数是女性,奇数是男性
在这里插入图片描述

女性

19、该网站共投资多少元

就是要计算表m_userinfo中字段investment的总和

SELECT SUM(investment)
FROM m_userinfo;

在这里插入图片描述

在这里插入图片描述

接着看后台管理员的网页投资金额是数据库中少了8倍,以后台数据为准,所以139390000 / 8 = 17423750

17423750

20、网站中有一名为“坐标江西”的书签,请给出其创建时间

根据这个得知更加准确的时间

在这里插入图片描述

在这里插入图片描述

2019-05-15 10:38:32

答案仅作参考,请各位师傅多多指点!

Elaine-niu
关注
  • 34
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
服务器取证——服务器基础知识
记录并分享学习安全的知识点..
12-20 1380
服务器基础知识
电子取证服务器取证,本人第一次从pc取证服务器,这里有一套例题分享给大家,所有解析我都尽可能全面具体,希望与各位同仁一起学习。(二次修改)
ntrybw的博客
08-08 8471
本人第一次接触服务器取证,把这套题作为服务器取证的入门,题目还是很不错的,希望想学习服务器取证的小伙伴看看,我们一起学习,一起成长。
服务器取证概述
知远同学的博客
04-26 1571
服务器是电脑的一种,服务器有高速的CPU运算能力,可长时间稳定运行,强大的I/O外部数据吞吐能力,以及更好的扩展。服务器能提供哪些服务?----网站服务器,nginx、apache、tomcat、iis、python等;----数据库,mysql sqlserver redis mongoDB等;----文件共享,FTP、NTS、SAMBA等;----代理服务器,负载均衡,反向代理,CDN缓存,VPN等;----其它功能,邮件,DNS等。服务器可能出现在哪些场景--现场勘验。
2024年盘古石杯服务器取证wp
最新发布
qq_51233573的博客
05-12 1645
由此可以判断黑客通过/Home/User/tkpwdpost.html 存在的sql注入将上传接口tmpugklv.php写到网站的根目录下 再通过上传接口将一句话木马上传。根据修改时间判断也是后续上传上去的文件 继续向前回溯 18时51分48秒的时候通过sql注入将tmpugklv.php 写道网站当中。再将sql文件导入数据分析工具当中 查看userlog表 结合受害人的聊天记录可以判断受害人第一次成功登录网站的时间为。根据导出的数据库备份文件可以看出 数据库表的前缀 think_
服务器取证方法
02-24 4578
前言:这边使用上海弘连产品-网探和仿真。 服务器取证步骤: 1.打开屏幕录像 2.通过提供的ip、用户名、密码、端口使用弘连网探连接服务器 3.一键提证 4.下载服务器镜像 5.压缩下载文件并计算哈希值 6.关闭屏幕录像 这边如果是阿里云并且是linux系统,可以参考我前面写的https://blog.csdn.net/xddtrue/articl...
服务器取证--linux操作命令
MichealCurry1的博客
10-14 2696
1.查看系统版本 cat /etc/redhat-release 2.查看内核版本 uname -a uname -sr 3.LVM LVM是逻辑盘卷管理(Logical Volume Manager)的简称,它是Linux环境下对磁盘分区进行管理的一种机制,LVM是建立在硬盘和分区之上的一个逻辑层,来提高磁盘分区管理的灵活性。 LVM的工作原理其实很简单,它就是通过将底层的物理硬盘抽象的封装起来,然后以逻辑卷的方式呈现给上层应用。在传统的磁盘管理机制中,我们的上层应用是直接访问文件系统,从而对底.
服务器取证
lulu001128的博客
04-20 128
课外
linux服务器取证思路.md
10-22
linux服务器取证思路.md
Web服务器日志取证分析方法
12-25
Web服务器日志取证分析的方法和工具技巧,入侵检测和证据固定的方法
CTF取证类题目指南
01-09
任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被认为是密码类赛题)。 取证作为CTF中的一大类题目,不完全包括安全产业中的实际...
网站-服务器取证实践与挑战.pdf
09-11
网站-服务器取证实践与挑战 漏洞分析 web安全 渗透测试 身份与访问管理 应急响应
取证分析之日志分析.zip
02-05
通过以上三个文件,我们可以深入学习如何使用编程语言(如Python)对日志数据进行有效分析,理解网络服务器日志的结构和用途,并掌握日志分析在取证和安全领域的应用。同时,了解数据分析的基本流程和方法,对提升...
数据取证服务器取证模块
weixin_51339377的博客
06-01 1112
服务器数字取证基础模块
网络取证篇】宝塔面板server和panel的目录功能说明
蘇小沐的电子数据取证博客
05-07 2359
宝塔面板的目录结构在不同的情况下可能有所不同---【蘇小沐】
宝塔上创建站点
猿特佳
09-06 2417
在网站上创建站点,并且解析域名,和申请SSL证书教程。
电子数据取证宝塔面板
知远同学的博客
04-29 2895
1、官网bt.com,是提升运维效率的服务器管理软件,支持一键WAMP/LAMP/LNMP等100多项服务器管理功能;是跨平台的软件,同时支持Windows和Linux。开源永久免费。提高工作效率,对小白比较友好。2、怎么看服务器中有没有宝塔宝塔6.0以前需要输入的命令是:bt default;这个命令适用于全版本;6.0以后的版本使用的命令是:bt。然后可以调出宝塔面板命令行,有很多功能可以选择;3、如果是Windows服务器的话看看进程,有没有宝塔服务,看看快捷方式。
长安杯!宝塔取证宝塔面板的题目实操,弘连软件使用的进阶练习,分享小练习,非常好的题目,推荐大家练习一下,针对服务器宝塔面板取证,题目也很good!(推荐做一下,提示一下自己啦!)
ntrybw的博客
10-16 2139
经询问,张某被嫌疑人诱导裸聊,下载了某“裸聊”软件,导致自己的通讯录和裸聊视频被嫌疑人获取,对其进行敲诈,最终张某不堪重负,选择了报警;我这个是连接ssh的,操作方便很多,在虚拟机里面搞事情过于麻烦,不知道怎么连接,可以看我的另一博文,清楚讲述了怎么连接。当然这个链接鬼问题也很多,我个人建议多尝试一下,大不了重开,就会找到好办法的,多试试代码就全部背下来的。使用宝塔链接就ok,在宝塔链接的时候,我建议修改密码,改成123456,因为不知道为什么,用原来的密码我就是进不去,心态崩了。
网站服务器取证案例,教你如何通过服务器日志进行入侵取证(转载)
weixin_34246529的博客
08-13 1125
转载自:网卫大学堂 http://www.wwdxt.com/日志文件默认位置:应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%/system32/config,默认文件大小512KB,管理员都会改变这个默认大小。安全日志文件:%systemroot%/system32/config/SecEvent.EVT系统日志文件:%systemroot%/system32/c...
远程电子数据取证-服务器分析(第1题)
asd158923328的博客
08-20 935
靶场地址: https://www.mozhe.cn/bug/detail/U1prK3FzNjAydzF1bUpxKzVrUWsvQT09bW96aGUmozhe 根据题意 远程桌面连接,登录,显示系统隐藏文件,找到所在分区的Recycler文件夹 ...
服务器取证 csdn
10-06
服务器取证是指通过收集、保存和分析服务器上的相关数据和证据,以便在法律程序中用作证据。针对CSDN服务器取证工作可以包括以下内容。 首先,取证人员需要获取被调查服务器的访问权限。这可能需要法律程序的支持,例如搜查令或法庭命令。一旦取证人员获得访问权限,他们可以开始收集证据。 其次,取证人员可以通过日志文件来了解服务器的操作历史。日志文件包含了服务器上的各种操作记录,如登录记录、文件操作记录等。这些记录可以帮助取证人员了解服务器的使用情况和可能存在的安全事件。 接下来,取证人员可以对服务器进行镜像,即创建服务器的一个完全副本,以便在离线环境进行进一步的分析。服务器镜像可以帮助取证人员深入研究服务器的文件系统、数据库和其他数据存储。通过对镜像的分析,取证人员可以找到可能隐藏在服务器上的证据,如删除的文件、威胁行为的痕迹等。 此外,取证人员还可以使用专业的取证软件工具来辅助取证工作。这些工具可以帮助取证人员搜索、过滤和恢复可能重要的数据和证据。同时,它们还可以生成详细的报告,记录取证过程和发现的证据,以备法庭使用。 最后,取证人员需要确保整个取证过程符合法律的规定和程序。他们需要记录下每一步的操作和取得的结果,并确保证据的完整性和可信度。取证人员还应与律师和法庭保持密切联系,确保取证工作符合法律程序和法院审理的要求。 综上所述,对CSDN服务器取证工作需要通过获取访问权限、分析日志、创建镜像等方式收集证据,并使用专业的取证软件工具进行数据分析和报告生成。同时,取证人员需要遵守法律程序,确保取证过程的合法性和证据的可信度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值