第七届蓝帽杯初赛取证部分（计算机、服务器）复盘

前言
这一届蓝帽杯初赛的难度上来不少，，于我个人而言，pc、服务器取证部分虽然说不上多难，但是赛后复盘补盲也学习到很多。可惜的是我们队伍虽然晋级复赛，但是由于一些原因无法参赛，算是有点小遗憾吧

pc部分

1.请给出计算机镜像pc.e01的SHA-1值？[答案格式：字母小写]

23F861B2E9C5CE9135AFC520CBD849677522F54C

2.给出pc.e01在提取时候的检查员？[答案格式：admin]

pgs

3.请给出嫌疑人计算机内IE浏览器首页地址？[答案格式：http://www.baidu.com]

http://global.bing.com/?scope=web&mkt=en-US&FORM=QBRE

这题很奇怪，这个答案是错的，我看其他大佬的解法是看注册表
4.请给出嫌疑人杨某登录理财网站前台所用账号密码？[答案格式：root/admin]

3w.qax.com	

5.请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号？[答案格式：xxxx(xx)]

2023秋季更新(15712)

6.请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1？[答案格式：字母小写]

24cfcfdf1fa894244f904067838e7e01e28ff450

pc中有一个iscis发起程序，启动一下，多了一个磁盘分区

ISCIS(共享存储)：概括的说，iSCSI是一种存储设备远程映射技术，它可以将一个远程服务器上的存储设备映射到本地，并呈现为一个块设备（大白话就是磁盘）。从普通用户的角度，映射过来的磁盘与本地安装的磁盘毫无差异。
我个人理解ISCIS和NAS有一点像

打开新增分区，找到目标文件和一个容器

或者直接挂载disk.img文件

7.请给出嫌疑人Vera Crypt加密容器的解密密码？[答案格式：admin!@#]

3w.qax.com!!@@

爆搜得出
8.请给出嫌疑人电脑内iSCSI服务器对外端口号？[答案格式：8080]

3261

9.请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码？[答案格式：root/admin]

在这里插入代码片

starwind中有看到账号密码但是被加密了
查看配置文件starwind.cfg

<permission target="" chapLocalName="user" chapLocalSecret="panguite.com" chapPeerName="" chapPeerSecret=""/>

10.分析嫌疑人电脑内提现记录表，用户“mi51888”提现总额为多少？[答案格式：10000]

在这里插入代码片

容器挂载一下，提现记录.xlsx筛选求和就能得出结果

服务器部分
先说下大概情况：大致就是一个宝塔面板的搭载的nginx+RDSmysql数据库，架构上比较常规，但是xb文件还原数据库是以前没碰到过的，这里贴一篇大佬的文章做参考
https://www.cnblogs.com/tongcharge/p/11600594.html
这是阿里云官方提供的rds数据库还原方法原文档
https://help.aliyun.com/zh/rds/apsaradb-rds-for-mysql/restore-the-data-of-an-apsaradb-rds-for-mysql-instance-from-a-physical-backup-file-to-a-self-managed-mysql-database#concept-41817-zh
1.分析涉案服务器，请给出涉案服务器的内核版本？[答案格式：xx.xxx-xxx.xx.xx]

3.10.0-957.el7.x86_64

[root@localhost ~]# uname -a
Linux localhost.localdomain 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23
:39:32 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

2、分析涉案服务器，请给出MySQL数据库的root账号密码？[答案格式：Admin123]

ff1d923939ca2dcf

这道题有点坑，mysql数据库的密码其实是被更改过的
宝塔面板记录的密码其实是可以登录服务器mysql的，所以当时就直接填上去了
但后续赛后复盘的时候发现这个答案是错的，看其他大佬得出的结果是/www/wwwroot/v9.licai.com/.env文件记录的mysql密码
但这个密码实际上并不能登录mysql，所以他问的是更改之前的密码？
3.分析涉案服务器，请给出涉案网站RDS数据库地址？[答题格式: xx-xx.xx.xx.xx.xx]

pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com

还是看.env文件

4、请给出涉网网站数据库版本号? [答题格式: 5.6.00]

5.7.40

这道题我是软件商店里面看的，好像是有误导项，不知道算不算讨巧

还原数据库
配置环境

###安装qrpess
wget "http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach
/183466/cn_zh/1608011575185/qpress-11-linux-x64.tar"
tar xvf qpress-11-linux-x64.tar
chmod 775 qpress
cp qpress /usr/bin

###安装xtrackup
wget https://www.percona.com/downloads/XtraBackup/Percona-XtraBackup-
2.4.9/binary/redhat/7/x86_64/percona-xtrabackup-24-2.4.9-1.el7.x86_64
.rpm

这一步我复盘的时候报错了

Unable to establish SSL connection.

加上–no-check-certificate解决
或者可以改用yum

yum install https://repo.percona.com/yum/percona-release-latest.noarc
h.rpm
yum install percona-xtrabackup-24

还原过程

cat hins261244292_data_20230807143325_qp.xb | xbstream -x -v -C /www/
server/data   ###解包xb文件
##进行解压
cd /www/server/data
innobackupex --decompress --remove-original /www/server/data
innobackupex --defaults-file=/etc/my.cnf --apply-log /www/server/
data ##报错没有关系
chown -R mysql:mysql /www/server/data

vim /etc/my.cnf
在[mysqld]模块下添加
lower_case_table_names=1
重启mysql服务
绕密
登录

数据库还原成功

网站重构

访问网站，报错
原因是还原数据库之后，原地址不适用，于是更改网站数据库配置,由于我们以及绕过mysql密码验证，所以只需要更改数据库地址即可
网站重构成功
根据浏览记录访问后台登录页面，发现需要密码登录，当然做到这一步要么是去查看密码的加密方式然后到数据库里去改密码；要么是直接更改网站源码，我们先随便邓登录一下
有报错，那就爆搜一下
找到判断登录逻辑的代码
发现登录逻辑其实蛮简单的，改一下代码
重构成功，接下来就可以开始做题了
5.请给出嫌疑人累计推广人数？[答案格式：100]

69

6.请给出涉案网站后台启用的超级管理员?[答题格式:abc]

admin

7.投资项目“贵州六盘水市风力发电基建工程”的日化收益为？[答题格式:1.00%]

4.00%

8.最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]

183.160.76.194

9.分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]

20

10.分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]

2

SQL语句是SELECT count(*) FROM member where amount>0 and bankaddress like '上海%'

11.分析涉案网站数据库或者后台，统计嫌疑人的下线成功提现多少钱？[答题格式:10000.00]

128457.00

13.分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人？[答题格式:123]

17

受害人叫陈昊民，数据库里面查一下SELECT * FROM member where realname='陈昊民'
追一下发现上线ID513935
数据库查询SELECT COUNT(*) FROM member where inviter='513935'
14.分析涉案网站数据库或者后台网站内下线大于2的代理有多少个？[答题格式:10]

60

15.分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]

骆潇原

SQL语句为select username,count(inviter) from member GROUP BY inviter ORDER BY count(inviter) desc

select * from member where invicode = '617624'

16.分析涉案网站数据库或者后台流水明细，本网站总共盈利多少钱[答题格式:10,000.00]

4,864,113,167.43

SQL语句为select sum(moneylog_houamount) from moneylog where moneylog_status = '+';

select sum(moneylog_houamount) from moneylog where moneylog_status = '-'
两者相减