百度云链接
链接:https://pan.baidu.com/s/1iEItwBUZx6X4_oe_ZfQlvw?pwd=ybww
提取码:ybww
-来自百度网盘超级会员V2的分享
如果链接失效了,可以随时私我,我会再给大家一个新链接的。
——————————————————分割线——————————————————————
第二届长安杯电子数据竞赛试题 | ||
序号 | 题目内容 | 分数 |
案情简介:接群众举报,网站“www.kkzjc.com”可能涉嫌非法交易,警方调取了该网站的云服务器镜像(检材 1.DD), 请对检材 1 进行分析,获取证据,并根据线索解锁更多检材,深入挖掘出更多与案件有关的信息。 | ||
1 | 检材 1 的操作系统版本是 (D) A. CentOS release 6.5 (Final) B. Ubuntu 16.04.3 LTS C. Debian GNU/ Linux 7.8 (wheezy) D. CentOS Linux release 7.6.1810 (Core) | 10 |
2 | 检材 1 中,操作系统的内核版本是 () (答案格式: “1.2.34” 数字和半角符号) 1、uname -r : 显示操作系统的发行版号 建议看弘连 | 10 |
3 | 检材 1 中磁盘包含一个 LVM 逻辑卷,该 LVM 开始的逻辑区块地址 (LBA) 是 () (答案格式: “12345678” 纯数字) 理解关系 一、物理卷、逻辑卷、卷组、快照卷之间的联系 物理卷(Physical Volume,PV):就是指硬盘分区,也可以是整个硬盘或已创建的软RAID,是LVM的基本存储设备。 卷组(Volume Group,VG):是由一个或多个物理卷所组成的存储池,在卷组上能创建一个或多个逻辑卷。 逻辑卷(Logical Volume,LV):类似于非LVM系统中的硬盘分区,它建立在卷组之上,是一个标准的块设备,在逻辑卷之上可以建立文件系统。 所以其实DD是一个硬盘分区,然后centos作为逻辑卷是从里面分出来的,所以分区三就是逻辑卷的开始分区 | 10 |
4 | 检材 1 中网站“www.kkzjc.com”对应的 Web 服务对外开放的端口是 () (答案格式: “123456” 纯数字) 首先是 看history溯源 这个是可以推测的,到周围去找,可以发现32000端口 就是从nginx结构看,先找配置文件 看nginx.conf 感觉配置文件里面没什么东西,但是有一个include 所以去那个文件夹里面看 顺利看到端口 | 10 |
5 | 检材 1 所在的服务器共绑定了 () 个对外开放的域名 (答案格式: “123” 纯数字) 我前面打开nginx下的配置文件,看到这三个域名,我觉得可以猜测是3个,因为配置文件下就看到这三个,当然,就经验来看,3个也比较合理。 | 10 |
6 | 检材 1 所在的服务器的原始 IP 地址是 () (答案格式: “172. 172.172.172” 半角符号) 这里要纠错,原始ip不是服务器现有ip,所以这个可能是不对的,我觉得可以从日记或者历史记录里面找,比较早的就有可能是原始ip 先看服务器,日记所在 看日记,没有什么用 然后思考,其实这个服务器网站都是后面三个,所以看网站的配置文件 但是无论看什么,这几个个文件都是没用 然后这个时候,我们只能看看docker,也算是一个小提示 看一下docker 发现nginx就步在里面 进入容器看一看,典型nginx架构,我直接笑死 看配置文件 找日记 发现看不了,一答案就在里面,因为映射的缘故,无法访问 这里用docker命令 退出docekr 然后docker logs +docker名,顺利看到部分文日记 往下手搓,在这里首次链接成功,出现了ip 就是192.168.99.222访问host:192.168.99.3 所以最原始,最早的访问ip是192.168.99.3 | 10 |
7 | 嫌疑人曾经远程登录过检材 1 所在的服务器,分析并找出其登录使用的 IP 地址是 () (并使用该地 址解压检材 2) (答案格式: “172. 172.172.172” 半角符号) 上一题我认为可以解答 就说明了访问ip是192.168.99.222 然后其实检材2会比较好看,从案件关联角度,确实嫌疑人是通过2访问1的 | 10 |
8 | 检材 1 所在的服务器,其主要功能之一为反向代理。找出“www.kkzjc.com”转发的后台网站所使用 的 IP 地址是 () (并用该 IP 地址解压检材 3) (答案格式: “172. 172.172.172” 半角符号) 关于正向代理和反向代理这张图很清楚 服务器的正向代理与反向代理_正向代理服务器_iamteapot的博客-CSDN博客 通过看nginx结构跟明显是知道了 我们看这个网站的配置文件 感觉不对,还是看容器先看配置文件 没有说明有价值信息 看到include,去看看访问 顺利发现地址 location 192.168.1.176 | 10 |
9 | 嫌疑人曾经从题 7 的 IP 地址,通过 WEB 方式远程访问过网站,统计出检材 1 中该 IP 出现的次数为 () (答案格式:“888” 纯数字) ip就是192.168.99.222,然后看出现几次就是看日记,日记在docker里面 去看一下,发现没法访问 只能在docker外用命令docker logs 容器名看日记 最后找到18个 | 10 |
警方找到了嫌疑人使用的个人 PC (检材 2.zip) ,请使用第 7 题的答案作为密码解压检材 2 ,分析并回答下列问题: | ||
10 | 检材 2 的原始磁盘 SHA256 值为 () (答案格式: “abcdefg” 不区分大小写) | 10 |
11 | 检材 2 所在计算机的 OS 内部版本号是 () (答案格式: “12345.7895” 半角符号) | 10 |
12 | 检材 2 所在计算机最后一次正常关机的时间为 () (答案格式: “1970- 10-01 10:01:45” 精确到秒,半角符号) | 10 |
13 | 检材 2 中,VMware 程序的安装时间为 () (答案格式: “2020-01-01 21:35” 精确到分钟,半角符号) | 10 |
14 | 检材 2 中,Vmware.exe 程序总计启动过 () 次 (答案格式: “5” 纯数字)8次 | 10 |
15 | 嫌疑人通过 Web 方式,从检材 2 访问检材 1 所在的服务器上的网站时,连接的目标端口是 () (答案格式: “12345” 纯数字) 80912 这里其实意思是web方式,就是远程连接这里远程连接检材1服务器,目标端口8019很明确 但是服务器地址是192.168.110.3,这题其实是上面那个很难的题目的答案,但是我觉得很难想到,不过三刷之后会溯源分析就简单的 | 10 |
16 | 接 15 题,该端口上运行的进程的程序名称 (Program name) 为 () (答案格式: “avahi-deamon” 字母和半角符号组合) 这一题我在windows里面看端口(必然),找不到,因为题目的意思应该指的就是服务器端口。 然后去服务器里找端口,发现了8091端口。docker - proker也就是代理服务器 也就是一个代理服务 | 10 |
17 | 嫌疑人从检材 2 上访问该网站时,所使用的域名为 () (答案格式: “www.baidu.com” 半角符号) 后面两个代理登录时用域名登录的,基本推断。 | 10 |
18 | 检材 2 中,嫌疑人所使用的微信 ID 是 () (答案格式: “abcde8888” 字母数字组合) 说实话,我一下子也没有找到,就很奇怪,仿真猜发现windows里面藏着手机备份 手机备份拉倒桌面后(vm tool) 我也搞了好一会 最后在这个路径下才分析成功 但是好像是有个密码没有解出来,但是弘连好像可以自己爆搜,就是慢慢破解,然后文件就变多 信息最后还是看得到的 | 10 |
19 | 分析检材 2 ,嫌疑人为推广其网站,与广告位供应商沟通时使用的通联工具的名称为 () (答案格式: “Wechat ” 不区分大小写) teltgram | 10 |
20 | 分析检材 2 ,嫌疑人使用虚拟货币与供应商进行交易,该虚拟货币的名称是 () (答案格式: “bitcoin” 不区分大小写) 狗狗 聊天记录里稍微找一下就看得到了,不是很难 | 10 |
21 | 上述交易中,对方的收款地址是 () (答案格式: “abC1de3fghi” 大小写字母数字组合) 下面有 DPBEgbwap7VW5HbNdGi9TyKJbqTLWYYkvf | 10 |
22 | 上述交易中,嫌疑人和供应商的交易时间是 () (答案格式: “2020-01-01 21:35:54” 精确到秒,半角符号) 2020-09-20 12:23:37 聊天记录里找一下就看得到了,好像csdn对狗币的图片审核很严格,一放上去就审核不过,所以图片总是丢掉。 一查就好了 | 10 |
23 | 上述交易中,嫌疑人支付货币的数量为 () (答案格式: “8888” 纯数字) 数量也要在线查。 4000个 | 10 |
24 | 检材 2 中,嫌疑人使用的虚拟机的虚拟磁盘被加密,其密码为 () (答案格式: “aoeiou”小写字母) zzzxxx 我试过了直接放到火眼里面没办法打开,所以要虚拟机先解码 然后第二次修订版,我总要把绕过做出来 的。 我自己写了 vm虚拟机 加密密码 破解术(亲测可用!)(2.0更新版)_此虚拟机已加密,必须输入密码才能继续_modest —YBW的博客-CSDN博客 首先是看python环境,但是我看虚拟机没有装环境,所以就直接拖到本地来做 然后发现是这幅样子 爆破进行中,要是爆不出来可以自己加字典 我发现解密后虽然仿真可以登录,但是火眼直接分析还是不行的,就是应该是加密导致火眼无法识别,所以我们还是要来一步解密操作 到虚拟机设置里面,直接移除加密,然后火眼才可以进行相关分析。 然后识别出来一个嵌套,直接证据再分析就好, 添加为新的检材 | 10 |
25 | 检材 2 中,嫌疑人发送给广告商的邮件中的图片附件的SHA256 值为 () ; (忽略邮件状态) (答案格式: “abcdefg” 小写字母) 直接算一下把 CC7EA3AB90AB6B28417E08C715C243CE58EA76D71FD141B93F055A58E9BA561A | 10 |
26 | 检材 2 中,嫌疑人给广告商发送广告图片邮件的发送时间是 () (忽略邮件状态) (答案格式: “2020-01-01 21:35” 精确到分钟,半角符号) | 10 |
27 | 检材 2 中,嫌疑人的邮箱密码是 () (答案格式: “abcde123456” 字母符号数字组合,区分大小写) | 10 |
28 | 检材 2 中,嫌疑人使用了 () 远程管理工具,登录了检材 1 所在的服务器。 (答案格式: “abcde” 字母,不区分大小写) 这个shell实在虚拟机里面的 | 10 |
29 | 检材 2 中,嫌疑人使用上述工具连接服务器时,使用的登录密码为 () (答案格式: “aBcd#123” 数字符号字母组合,区分大小写) 显然 手搓是这样的 ,我发现xshell的文件结构不是放在program里 然后版本就是7和6都有 | 10 |
请使用第 8 题的答案作为密码解压检材 3 ,分析并回答下列问题 | ||
30 | 检材 3 的原始磁盘 SHA256 值为 ()+ (答案格式: “abcdefg” 不区分大小写) 这里先不着急做题 转发后台网站ip做出来是192.168.1.176 这个就刚好对应了 所以可以知道这个iss服务器就是转发的网站服务器 | 10 |
31 | 检材 3 所在的计算机的操作系统版本是 (000000000000000000000000000000000000000000000000000000) A. Windows Server 2012 B. Windows Server 2008 R2 C. Windows Server 2008 HPC Edition D. Windows Server 2019 LTSB | 10 |
32 | 检材 3 中,部署的网站名称是 () (答案格式: “abcdefg” 小写字母) 这里从架构来说,典型的就是第一种windows架构 windows sever iis里面打开网站就有,这个是常规,主要靠iis 可视化界面看到网站 为了网络连接,修改本地虚拟网络适配 把他改成1网段 这里看到历史,有很多代理登录 我也试过,连接192.168.1.176但是不行,我去探究一下 就是网站访问是不行的,直接访问网站不行,只能通过代理登录 连接代理服务器 http://localhost/dl 无论是通过localhost还是ip都是可以访问 但是还是不能访问网站 | 10 |
33 | 检材 3 中,部署的网站对应的网站根目录是 () (答案格式: “d :\path1\path2\path3” 绝对路径,半角符号,不区分大小写) 其实面板里有提示的 点一下右边的基本设置,就是这个物理路径,没什么好说的,iis就是这样的 | 10 |
34 | 检材 3 中,部署的网站绑定的端口是 () (答案格式: “12345” 纯数字) 80 其实这个也很好看,没什么技术含量 | 10 |
35 | 检材 3 中,具备登陆功能的代码页,对应的文件名为 () (答案格式: “index.html ” 字母符号组合,不区分大小写) 这里我要解释一下iis,iis的根目录其实很好看,就是点一下基本设置,然后打开后网站的根目录,看到这么多,其实网站目录就是web,提示很明显。 然后点进去查看,但是我发现虚拟机里面不是很方便,所以我选择拖到桌面上查看 配置文件就是web.config 先分析网站配置内容 前面写的都是重定向,不同的网址定位到不同地方 后面是跳转规则与网站 然后就是分析跳转了,理论上是一个一个实验过去 gl是登录界面 dl也是有回显 这个都是,所以我们开始手搓源代码 这个是代理的 这个是用户的 其实按道理说,我觉得这个都是可以的,一个是前段,一个是后端 所以这题我和官方的答案不一样 但是从比赛角度而言,看历史记录更加准确,出题人的意思是叫我找网站的代理登录 | 10 |
36 | 检材 3 中,请对网站代码进行分析,网站登录过程中,代码中对输入的明文密码作了追加 () 字符 串处理 (答案格式: “a1b2c3d4” 区分大小写) 接上题,找登录文件,上题的文件招进去。 0v0这个 一行讲的就是登录怎么流程 | 10 |
37 | 检材 3 中,请对网站代码进行分析,网站登录过程中,代码中调用的动态扩展库文件的完整名称为 () (答案格式: “abc.html.ABC” 区分大小写,半角符号,包含扩展名) 登录文件的首行,就是这个文件的地址,前面是引用,最后是运行的结构。 dnspy反编译工具,把dll文件提取出来反编译找答案。 <%@ page language="C#" autoeventwireup="true" inherits="dr_login_dllogin, App_Web_dllogin.aspx.7d7c2f33" %> 所以说真正的dll文件是后面这个,前面那个是地址是dll文件里的关键地址,考试的时候如果直接提交后面这个也是错,要加上dll动态扩展名。 为了保险起见,就去bin目录下给她找出来 | 10 |
38 | 检材 3 中,网站登录过程中,后台接收到明文密码后进行加密处理,首先使用的算法是 Encryption 中 的 () 函数 (答案格式: “Bcrypt ” 区分大小写) 前面找到了动态扩展库,我发现所有编辑器都打不开dll,之后真的只有dnspy可以打开, 然后我就把这个文件打开了 然后视图,找到这个dll是文件地址,然后点击进入,找到关于登录的相关界面,看到这里是有 AES和MD5两种加密方式,但是主要还是AESEncrypt | 10 |
39 | 检材 3 中,分析该网站连接的数据库地址为 () 并使用该地址解压检材 4 (答案格式: “172. 172.172.172” 半角符号)192.168.1.174 说实话,这题脑洞大的离谱,我就按照官方解给大家仔细演示一下 第一步就是跳转AES文件,找到函数,就是双击 然后AES里面我成功找到了AESdecrypt 也就是解密 我吗在关于数据库的DBManager里面找到了 关于数据库的解密码,简而言之就是这样解密,其实到这里,很多人会去AES网站觉得试一下,因为钥匙什么都有了,为啥不试试看,但是无奈,因为还有一个MD5,我觉得还有base64的痕迹,所以很麻烦,这里官方解法很骚,就是利用这个环境试试。 可以看到这个是用来DBManger这个dll,所以让他先在本地运行起来,然后做一遍本地解密过程 | 10 |
40 | 检材 3 中,网站连接数据库使用的密码为 () (答案格式: “Abc123!@#” 字母数字符号组合,区分大小写) 经过我的努力,发现一定要powershell才可以运行,cmd不行,建议网上下载,然后用的时候在路径输入powershell 下图我就成功添加了路径 然后听我细细解说 先是把代码行复制,然后把前面的Encryption英文[]括号起来,前面加上DBManager,做完了以后再括号后面加两个引号,就可以解密了,这个建议多尝试几次,确实很艰难 | 10 |
41 | 检材 3 中,网站连接数据库服务器的端口是 () (答案格式: “12345” 纯数字) 看上题1433 | 10 |
请使用第 39 题的答案作为密码解压检材 4 ,分析并回答下列问题 | ||
42 | 检材 4 的原始磁盘 SHA256 值为 () (答案格式: “abcdefg” 不区分大小写) | 10 |
43 | 重构该网站,分析嫌疑用户的推广链接中参数里包含的 ID 是 () (答案格式: “a1b2c3d4” 字母数字组合,小写) 我客观的说,这是我史上见过最原始的虚拟机 由于这个虚拟机很原始,xshell一般不是很好 既然用不了,那就装net-tool命令,稍微安装一下 我在复盘的时候显示要换源,反正就很烦很烦了,那样我们只能继续操作下去 那么就从history开始手搓 发现很烦,还有docker,关键是xshell都连不上,就很烦 先看一看网卡 网卡信息如图 没有网卡信息很简单,因为没有开机自启 onboot改为yes 然后重启网路就看得到 这个时候可以链接sxhell 但是我发现一个规律,在远程链接数据库的时候,如果设置dhcp 那么数据库里面所有配置文件都要修改,因为原来网站配置文件 所以这种时候,就是固定ip为原来的数据库ip,然后配置虚拟机网络 修改玩固定192.168.1.174ip之后发现ping不通 因为看history,有很多docker 所以看一下docker 启动一下 解释一下。ms sql其实是selserver的软件,所以数据库在docker里面 陷入僵局:题目是20年,所以不需要换源,现在源已经坏了,需要换源,所以这题就要从新配置,把新的源换好,完成一系列安装,才能进一步操作 但是我遇到了问题,就是在换源之后,不仅无法看端口,而且解密也很难,理论是我们是想在上一个模块看到数据库的用户名和密码,然后在这一个模块把数据库启动起来 就是这个网站的数据库是没有的 但是在检材4数据库源有问题的情况下,我觉得是很难在虚拟机里面直接操作换源的,难度非常大,所以还是放弃了。 | 10 |
44 | 重构该网站,该网站后台的代理用户数量为 () (答案格式: “12345” 纯数字) | 10 |
45 | 重构该网站,该网站注册用户中共有过 () 个代理 (包含删除的数据) (答案格式: “12345” 纯数字) | 10 |
46 | 重构该网站,对补发记录进行统计,统计 2019 年 10 月 1 日后补发成功的金额总值 () (答案格式: “123456” 纯数字) | 10 |
47 | 检材 4 中,对“TX_IpLog”表进行分析,所有在“武汉市”登录的次数为 () (答案格式: “” 纯数字) | 10 |
48 | 重构该网站,该嫌疑人下属代理“ liyun10”账户下的余额有 () 元 (答案格式: “123456” 纯数字) | 10 |
49 | 接上一题,该用户的推广 ID 是 () (答案格式: “a1b2c3d4” 字母数字组合,小写) | 10 |
50 | 接上一题,该代理商户的最后一次登陆时间是 () (答案格式: “2020-01-01 21:35” 精确到秒,半角符号) | 10 |
后面题目实在太难,大二小白写不下去了,弘连真的不是一般人可以挑战的,下限就足够高。
第三次总结:现在对简单的数据库模块已经有了一定经验,但是针对困难的AES加解密部分表现不好,然后最后检材4,手动还原,其实可以使用外部u盘挂载的方法,虽然很困难,但是我也在探索,手搓之路刚刚开始,我会大三暑假或者大三上第四次做题,目标就是把网站最终重构出来,吧检材4数据库这一块解决。
这个学期提升web水平与服务器取证,先沉淀吧,不着急绽放。