检材1
根据报案人提供的网站域名和IP,警方调取了对应的服务器镜像“检材1”,分析掌握的检材回答下列问题
1.检材1的SHA256值为
2. 分析检材1,搭建该服务器的技术员IP地址是多少?用该地址解压检材2
火眼证据分析中查看登录日志
3. 检材1中,操作系统发行版本号为
仿真时火眼就能解析出来
4. 检材1系统中, 网卡绑定的静态IP地址为
输入命令ifconfig
查看
结果为172.16.80.133
5. 检材1中,网站jar包所存放的目录是(答案为绝对路径,如“/home/honglian/”)
在history中可以看到在/web/app目录下有很多jar包的运行记录
一共是五个:exchange.jar
、admin-api.jar
、cloud.jar
、market.jar
、ucenter-api,jar
就可以猜测该网站jar包的存放目录就是/web/app/
6. 检材1中,监听7000端口的进程对应文件名为
在历史命令中,可以看到使用了一个 sh start_web.sh
的脚本,后来通过rm的命令给删掉了,所以需要过滤历史命令。思路一是找到所有jar包,查看配置文件的启动端口即可,如果没有则查看所有前端vue的config,看是否启动在7000端口。正确答案为 cloud.jar
7. 检材1中,网站管理后台页面对应的网络端口为(答案填写阿拉伯数字,如“100”)
注意起网站后/web/app/admin
才是真实的admin目录, admin-api.jar
只是admin-api
与检材2进行联合分析, 在检材2的 Google Chrome 历史记录中, 可以看到后台管理
对应 9090 端口, 且访问地址对应检材1的静态 IP
8. 检材1中, 网站前台页面里给出的APK的下载地址是(答案格式如下:“https://www.forensix.cn/abc/def”)
网站重构后,页面有一个apk的二维码,扫描过后得到链接
9. 检材1中,网站管理后台页面调用的用户表(admin)里的密码字段加密方式为?
将几个jar包导出,搜索password
password = Encrypt.MD5(password + this.md5Key);
密码加上md5key后整体进行MD5加密
10. 分析检材1,网站管理后台登录密码加密算法中所使用的盐值是
定位这个md5Key
结果为XehGyeyrVgOV4P8Uf70REVpIw3iVNwNs
检材2
11. 检材2中,windows账户Web King的登录密码是
12. 检材2中,除检材1以外,还远程连接过哪个IP地址?并用该地址解压检材3
检材1是172.16.80.133,xshell还连接了172.16.80.128
13. 检材2中,powershell中输入的最后一条命令是
powershell会在用户目录\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine
下保存历史命令文件,查看该文件可以找到最后使用的命令
结果为ipconfig
14. 检材2中,下载的涉案网站源代码文件名为
通过分析程序可以看到Chrome下载记录中下载的文件
结果为ZTuoExchange_framework-master.zip
15. 检材2中,网站管理后台root账号的密码为
使用分析程序查看,在谷歌浏览器保存了账号和密码
16. 检材2中,技术员使用的WSL子系统发行版本是(答案格式如下:windows 10.1)
登录虚拟机,直接 wsl 命令,可得 wsl -l -v,输入可得版本号
17. 检材2中,运行的数据库服务版本号是(答案格式如下:10.1)
火眼证据分析,MySQL解析
18. 上述数据库debian-sys-maint用户的初始密码是
直接在 wsl里看需要权限,但是没有这个权限,因此只能在windows 上找这个文件的位置
C:\Users\Web King\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu20.04LTS_79rhkp1fndgsc\LocalState\rootfs\etc\mysql
19. 检材3服务器root账号的密码是
通过分析程序可以看到ssh的历史命令,得到密码
结果为h123456
检材3
20. 检材3中,监听33050端口的程序名(program name)为
解压,这个服务器为 admin-api.jar 的数据库地址,检材3中history有大量 docker 命令,启动 docker,发现就是33050
结果为docker-proxy
21. 除MySQL外,该网站还依赖以下哪种数据库
历史命令发现nohup了redis和mongo
结果为redis|mongodb
22. 检材3中,MySQL数据库root账号的密码是
mysql的账号密码就是 admin-api.jar 的配置文件中的密码
结果为shhl7001
23. 检材3中,MySQL数据库在容器内部的数据目录为
/var/lib/mysql,容器内部的mysql,先进入容器docker exec -it mysql57 /bin/bash,发现有4个路径
只有/etc/mysql里面有配置文件,进去找一圈,mysqld.cnf倒数第6行datadir是mysql的数据目录
结果为/var/lib/mysql
24. 涉案网站调用的MySQL数据库名为
分析admin-api.jar
时,可以看到
结果为b1
25. 勒索者在数据库中修改了多少个用户的手机号?(答案填写阿拉伯数字,如“15”)
提到数据库用户操作,那自然是找MySQL日志,首先用show variables where Variable_name='general_log_file';
命令找到MySQL日志路径
当然这是docker容器中的路径,我们可以去它的外部映射路径/data/mysql/db
里找该日志文件,搜索关键词update
即可,其中只有三条是修改用户手机号:
UPDATE `b1`.`member` SET `mobile_phone` = '13638991111' WHERE `id` = 9
UPDATE `b1`.`member` SET `mobile_phone` = '13282992222' WHERE `id` = 10
UPDATE `b1`.`member` SET `mobile_phone` = '13636993333' WHERE `id` = 11
26. 勒索者在数据库中删除的用户数量为
过滤 delete 关键字,可以看到一共有 28 条,且全部都与 member_id 相关
27. 还原被破坏的数据库,分析除技术员以外,还有哪个IP地址登录过管理后台网站?用该地址解压检材4
使用火眼数据库分析工具,然后在他的一个管理员登录表的日志文件中,有两个IP除了100就是197了
28. 还原全部被删改数据,用户id为500的注册会员的HT币钱包地址为
利用sql语句查询SELECT address,member_id FROM `member_wallet` WHERE member_id=500
结果为cee631121c2ec9232f3a2f028ad5c89b
29. 还原全部被删改数据,共有多少名用户的会员等级为'LV3'(答案填写阿拉伯数字,如“15”)
将member数据库导出成csv结构,office打开后筛选出member_grade_id=3,有158条,实际上 member 表中还有 28 条被删除的用户记录,28 个用户中有6个 LV3,共164个
30. 还原全部被删改数据,哪些用户ID没有充值记录(答案填写阿拉伯数字,多个ID以逗号分隔,如“15,16,17”)
通过分析,发现member_transaction
是充值记录表,联合member
表查询出未充值过的用户
使用sql语句select id from member where id not in (select distinct(member_id) from member_transaction)
得到结果
31. 还原全部被删改数据,2022年10月17日总计产生多少笔交易记录?(答案填写阿拉伯数字,如“15”)
使用sql语句SELECT count(*) FROM `member_transaction` where create_time>="2022-10-17 00:00:00" and create_time<"2022-10-18 00:00:00"
从member_transaction
表中查询
32. 还原全部被删改数据,该网站中充值的USDT总额为(答案填写阿拉伯数字,如“15”)
同样在member_transaction
这个表里,发现交易币种是USDT
直接进行SQL查询
SELECT SUM(amount) FROM member_transaction WHERE symbol = 'USDT';
检材4
根据前期侦查分析,通过技术手段找到了幕后老板,并对其使用的安卓模拟器“检材4”进行了固定。分析所有掌握的检材,回答下列问题
33. 嫌疑人使用的安卓模拟器软件名称是
解压出来是 npbk文件,百度下,夜神模拟器
34. 检材4中,“老板”的阿里云账号是
使用火眼对解压出的vmdk进行取证,直接搜索阿里云
35. 检材4中安装的VPN工具的软件名称是
查看程序列表
结果为v2rayNG
36. 上述VPN工具中记录的节点IP是
在模拟器中直接打开查看
37. 检材4中,录屏软件安装时间为
应用程序中搜索luping
结果为2022/10/19 10:50:27
38. 上述录屏软件中名为“s_20221019105129”的录像,在模拟器存储中对应的原始文件名为
进入/data/目录,安卓app的核心数据基本都在该目录下,找到录屏软件包名,进入databases子目录查看数据库信息,里面有个record.db
文件
查看该数据库文件,在里面的RecordFile表中可以找到答案0c2f5dd4a9bc6f34873fb3c0ee9b762b98e8c46626410be7191b11710117a12d
39. 上述录屏软件登录的手机号是
录屏软件中我的->帮助与反馈->账号注销即可看到完整手机号
40. 检材4中,发送勒索邮件的邮箱地址为
使用火眼对邮件进行分析
参考文章:
2022第四届长安杯电子取证竞赛 服务器赛时思路&题解 Zodi4c_2022长安杯电子数据检材-CSDN博客
2022第四届长安杯复盘_长安杯2022年检材3密码-CSDN博客