浅谈宝塔技术

电子物证个人赛解题思路

以下内容仅供参考

手机备份文件部分

1. 请分析手机备份文件（备份密码：Aa123456），嫌疑人近期比较着急要哪个APP,需要尽快测试？(标准格式：遇见.apk)*___。

答案：长江集团.apk

解题思路：（1）使用火眼进行分析，查看微信中与“半塘”的聊天记录，发现嫌疑人在让厦工干干进度

（2）通过下滑聊天记录找到了“长江集团.apk”

2. 请分析手机备份文件（备份密码：Aa123456），找出嫌疑人借款给老袁多少？*_（标准格式：12345）

答案：15000

解题思路：在“基本信息”中找到“借款记录”的便签，其中记录着“借老袁15000”

3. 请分析手机备份文件*_（备份密码：Aa123456），2021年谁向嫌疑人转账2000元？(标准格式：王一）

答案：徐甘

解题思路：在分析中搜索中到转账通知短信，转账人为“徐甘”

4. 请分析手机备份文件（备份密码：Aa123456），聊天记录找出工作群的群账号为？*_（标准格式：123@abc）

答案：18479468254@chatroom

解题思路：（1）通过查看微信群消息确认“群组名称”为“乘风破浪会有时”

（2）通过“群组名称”在“群组列表”中查看，发现群组ID

5. 请分析手机备份文件（备份密码：Aa123456），工号为150722的嫌疑人昵称为？*_（标准格式：张三）

答案：刘怡雯

解题思路：（1）接上题，查看该群组的聊天记录，发现其中有发出业绩统计截图

（2）经过后续聊天对话发现该截图中不存在一名嫌疑人的业绩记录

（3）经过查看后续的聊天记录和重新发出的业绩截图，发现截图中增加了工号150722，由此判断是群中的“同事刘”没有登记，且该名嫌疑人的工号为150722，在通讯录中通过用户ID进行过滤找到嫌疑人的昵称

6. 请分析手机备份文件（备份密码：Aa123456），找出添加公司客服微信的音频文件，该文件的MD5值为？*_（标准格式：e10adc3949ba59abbe56e057f20f883e）

答案：2F9B7E029F19CFAB101E65F0F790DBEF

解题思路：在文件分类中找到音频文件分类，发现存在“添加微信.m4a”，通过听里面的聊天内容确认为添加公司客服微信的音频文件，计算MD5值即可

7. 请分析手机备份文件（备份密码：Aa123456），找出工商银行卡最晚日期的所剩余额为？*_（标准格式：123.12）

答案：150,214.41

解题思路：在通知推广类短信中搜索工商或工商银行，按照时间顺序即可查看到工商银行卡最晚日期的所剩余额

8. 请分析手机备份文件（备份密码：Aa123456），确认通话次数最多的手机号码为？*_（标准格式：15912349875）

答案：18783398493

解题思路：将“通话记录”全选后进行导出，然后使用工具打开表单并进行统计

9. 请分析手机备份文件（备份密码：Aa123456），找出嫌疑人借款总额为多少？*_（标准格式：12345）

答案：74900

解题思路：在日历中找到嫌疑人待办事项的记录，发现存在借款55400和19500，计算完后即可

手机镜像部分

10. 请分析手机镜像，数据该手机移动热点密码为？*_（标准格式：123abc）

答案：25fbf08fded5

解题思路：在“基本信息”中存在“移动热点”的解析结果

11. 请分析手机镜像，嫌疑人需要投资理财的用户数据年龄段为？*_（标准：30-50）

答案：20-40

解题思路：通过查看telegram中与“小黑”的聊天记录找到结果

12. 请分析手机镜像，嫌疑人曾购买受害人信息，确认对方的虚拟币地址后6位为？*_（标准格式：123abc）

答案：ac2803

解题思路：接上题，找到聊天记录中的虚拟币钱包地址

13. 请分析手机镜像，王炜的手机号为？*_（标准格式：15566667777）

答案：18259141413

解题思路：在telegram中找到“王玮”的手机号

14. 请分析手机镜像，嫌疑人手机安装的记事本软件应用名称包名为？*_（标准格式：www.fwef.com）

答案：com.snmi.kd.hourworkrecord

解题思路：在apk列表中可以查看到相应的软件名称和包名

15. 请分析手机镜像，安装的（记事本软件）记录嫌疑人收入为450的时间为？*_（标准格式：2023年07月12号）

答案：2024年05月15号

解题思路：（1）接上题，使用包名“”在文件中搜索，并找到database目录，对每个数据库进行查看，发现“room.db”中记录着收入

（2）使用火眼自带的查看工具进行查看，找到收入为450的时间戳，将时间戳进行转换即可

计算机镜像及计算机内存镜像部分

16. 请分析计算机镜像，嫌疑人Telegram账号昵称为？*_（标准格式：卖火柴的小女孩）

答案：放洋的小火材

解题思路：直接查看telegram账号信息即可

17. 请分析计算机镜像，嫌疑人使用的邮箱号为？*_（标准格式：123456@qq.com）

答案：vincent188152@163.com

解题思路：直接查看网易邮箱大师可以得到

18. 请分析计算机镜像，嫌疑人2023年3月份接收到过同伙发来的源码，确认其同伙的邮箱号为？*_（标准格式：123456@qq.com）

答案：ghc_work@qq.com

解题思路：在网易邮箱大师中的本地回收站可以得到发件人的邮箱号

19. 请分析计算机镜像，计算机中使用远程连接软件连接过的服务器IP为？*_（标准格式：127.0.0.1）

答案：93.179.115.169

解题思路：使用火眼对镜像仿真，查看桌面发现finalshell工具，可以看到远程连接的IP地址

20. 请分析计算机镜像，计算机中保存的服务器连接配置文件为？*_（标准格式：123.abc）

答案：远程服务器.json

解题思路：打开finalshell所在位置，找到conn目录下的json文件

21. 请分析计算机镜像，嫌疑人使用的v p n的剩余流量为？*_（标准格式：500G）

答案：1000G

解题思路：在D盘找到clash for windows软件，打开即可看到使用vpn的剩余流量

22. 请分析计算机镜像，嫌疑人vpn“SG|新加坡04”节点服务端端口为？*_（标准格式：11004）

答案：21104

解题思路：在火眼解析clash的结果中过滤，找到服务端端口

23. 请分析计算机镜像，经分析，嫌疑人曾在计算机中测试部署涉案网站，分析测试网站后台登录密码为？*_（标准格式：ABC123）

答案：QT4321

解题思路：（1）通过查看google浏览器保存的账目密码两个网站

（2）然后再浏览器记录里面搜索网站链接，以确定后台登录密码

24. 请分析计算机镜像，经分析，嫌疑人曾在计算机中测试部署涉案网站的图标文件名称为？*_（标准格式：tubiao.ico）

答案：favicon.ico

解题思路：在仿真好的window浏览器中访问后台管理地址，打开F12并刷新界面，在Network中可以发现相关资源，包括图标文件名称

25. 请分析计算机镜像，经分析，嫌疑人曾在计算机中测试部署涉案网站，其连接过的数据库root密码为？*_（标准格式：ABC123）

答案：123456

解题思路：查看navicat连接记录即可得到结果

26. 请分析计算机镜像，计算机中宝塔面板绑定的手机号是？*_（标准格式：123456）

答案：15779338749

解题思路：在火眼证据分析的宝塔面板解析结果中找到手机号

27. 请分析计算机镜像，计算机中向日葵远程工具的本机识别码为？*_（标准格式：123456）

答案：742908913

解题思路：在火眼证据分析中的向日葵分析结果中找到本机识别码

28. 请分析计算机镜像，计算机“宝塔面板”安装时间为？*_（标准格式：2024-01-01 12:00:00）

答案：2024-05-20 10:46:56

解题思路：在火眼证据分析的基本信息中找到安装软件，然后过滤宝塔或宝塔面板即可

29. 请分析计算机镜像，计算机中存在Linux虚拟机，其分配的内存大小为？*_（标准格式：4GB）

答案：2GB

解题思路：在仿真好的window虚拟机打开vmware即可查看

30. 请分析计算机镜像，分析计算机中Linux虚拟机安装的docker容器mysql版本号是多少？*_（标准格式：5.6.23）

答案：5.7.34

解题思路一：（1）首先确保宿主机中的vmware打开了虚拟化

（2）在虚拟机中打开vmware，在此界面按 e 键，进入救援模式

（3）找到 linux 开头的行，将 ro 改为 rw 并且在末尾加上 rd.break，完成后按 ctrl + x

（3）成功进入后输入以下命令，完成后重启

 switch_root:/# chroot /sysroot
 #切换为chroot存放位置，其中/sysroot被视为文件系统树的根
 
 sh-4.4# passwd root
 #设置新root密码
 
 sh-4.4# touch /.autorelabel
 #确保所有未标记的文件（包括此时的/etc/shadow）在启动过程中都会重新获得标记
 
 sh-4.4# exit
 switch_root:/# reboot
 #键入exit，退出chroot存放位置，然后reboot重启服务器

（4）使用新密码登录root账号，打开命令控制台，查看并开启docker服务，查看到 mysql 版本

31. 请分析计算机镜像，分析嫌疑人使用过的宝塔面板登录密码为？*_（标准格式：ABC123）

答案：VJx8mvuv

解题思路：由23题的解题思路可以得到宝塔面板的密码

32. 请分析计算机镜像，分析嫌疑人使用过的宝塔面板首次登录时间为？*_（标准格式：2024-01-01 12:00:00）

答案：2024-05-20 10:48:36

解题思路：查看window虚拟机中的宝塔面板日志可以得到结果

33. 请分析计算机镜像，分析嫌疑人使用过的宝塔面板里记录的mysql数据库root密码为？*_（标准格式：ABC123）

答案：oPRM1SQAnv5KF6c1

解题思路：查看window虚拟机中的宝塔面板数据库可以得到结果

34. 请分析计算机镜像，登录测试网站后台，其中产品回收站第一条商品随机值为？*_（标准格式：0.0001）

答案：0.0003

解题思路：（1）查看服务状态，发现nginx未启动，点击nginx启动服务

（2）通过访问端口 81 得到使用的是 ceshi.com 网站

（3）结合在“此电脑”的“文档”目录下找到的“搭建说明.docx”，可以确定数据库配置文件为“database.php”

（4）找到“database.php”数据库配置文件后，发现IP地址为 192.168.106.128，可能为虚拟机IP

（5）在window中的centos虚拟机中进行验证IP地址，确定为该虚拟机，然后使用docker start 命令将容器启动

（6）尝试在window的cmd命令提示符中ping一下虚拟机IP地址（如果不通，可以尝试关闭防火墙并重启docker），ping通后使用后台管理地址及保存的账密可以成功访问登录

（7）找到“产品回收站”然后可以看到第一条商品随机值为 0.0003

35. 请分析计算机镜像，登录测试网站后台，其中产品回收站最后一条商品名称为？*_（标准格式：全麦面包）

答案：彩色蓝宝石

解题思路：接上题，产品回收站最后一条商品的名称为“彩色蓝宝石”

36. 请分析计算机镜像，连接测试数据库，其中的admin用户upwd3密码字段值为？*_（标准格式：abc123）

答案：123456aaa

解题思路：（1）在回收站可以找到navicat的压缩包，解压即可使用该工具

（2）运行软件可以发现存在连接记录，点击输入服务器密码“123456”即可连接

（3）连接后在wp_htgly数据表中找到upwd3的值

37. 请分析计算机镜像，分析确认嫌疑人测试数据库中的管理员手机号为？*_（标准格式：15566667777）

答案：17760677071

解题思路：由上题可知

38. 请分析内存镜像，确认“TrueCrypt.exe”的父进程ID为？*_（标准格式：1000）

答案：

解题思路：

39. 请分析内存镜像，确认用户“Administrator”的lmhash为？*_（标准格式：e10adc3949ba59abbe56e057f20f883e）

答案：

解题思路：

40. 请综合分析，计算机中Bitlocker恢复密钥的后6位为？*_（标准格式：123456）

答案：

解题思路：

41. 请综合分析，计算机中2022年6月4日的收益明细为？*_（标准格式：123.12）

答案：

解题思路：

42. 请综合分析，查找计算机中保存的加密容器加密卷MD5值为？*_（标准格式：e10adc3949ba59abbe56e057f20f883e）

答案：

解题思路：

43. 请综合分析，综合分析查找计算机中保存的客户小林的手机号为？*_（标准格式：15566667777）

答案：

解题思路：

服务器镜像部分

网站搭建过程

步骤一：镜像仿真

（1）使用火眼仿真服务器镜像并查看网络状态（因为存在两个网卡配置文件，所以虚拟机需要设置两个网络适配器）

（2）通过火眼证据分析得到的结果确定服务器中存在nginx和mysql服务为正常运行

（3）查看docker服务是否启动，如果未启动查看firewalld服务状态，可以直接使用 systemctl disable firewalld --now 将防火墙关闭，完成后启动docker

（4）查看容器状态并启动容器

步骤二：查看网站源码

（1）根据宝塔面板的目录结构，在 /www/wwwlogs 下找了网站日志

（2）查看网站日志找到了网站前端成功的访问记录，在浏览器中尝试 IP地址+端口 访问可以正常查看网站界面，但在访问网站后台时出现权限不足的问题，怀疑存在白名单

步骤三：配置数据库

（1）在网站源码中找到数据库连接文件，发现password的值是 encrypt() 函数的返回值

（2）查找相关代码发现encrypt.php文件中存在相关返回值

（3）按照相关加密流程对pinghang该字符串进行加密

• 使用md5加密pinghang字符串得到key值，为288175fb2a545f7c28dcffde706cf57b
• iv值是对key值的md5加密后前16位，为ef771039ff141738
• encrypted的值是AES加密，为cb9ff41b2dcab71c7091d191856e4a83，相关参数如下：

• result的值为iv和encrypted拼接计算base64，为ZWY3NzEwMzlmZjE0MTczOGNiOWZmNDFiMmRjYWI3MWM3MDkxZDE5MTg1NmU0YTgz

• password的值是result值的前8为，为ZWY3NzEw

• encrypt返回值为password的值，为ZWY3NzEw

（4）使用navicat工具和encrypt返回值可以登录到mysql数据库

（5）

44. 请分析服务器镜像，涉案网站的web服务程序为？*_（标准格式：sshd）

答案：nginx

解题思路：在火眼中可以查看到 nginx.conf 配置文件

45. 分析服务器镜像，分析服务器操作系统版本号为？*_（标准格式：7.3.1001）

答案： 7.3.1611 (Core) 

解题思路：在火眼的基本信息中的系统信息下可以查看到

46. 请分析服务器镜像，在历史命令里第一条是什么内容？*_（标准格式：ls -a;）

答案：set +o history;

解题思路：在火眼的Linux基本信息中可以查看到相应的历史命令

47. 请分析服务器镜像，该服务器是否存在宝塔备份文件的路径？*_（标准格式：/abc/abc/abc）

答案：/www/backup/panel

解题思路：宝塔面板默认备份文件路径下存在panel

48. 请分析服务器镜像，该服务器曾安装过宝塔面板，确认登陆面板的默认端口号为？*_（标准格式：3306）

答案：80

解题思路：通过查看宝塔面板的nginx配置得到

49. 请分析服务器镜像，该服务器docker容器ID前六位是什么？*_（标准格式：abcde0）

答案：c07e2b

解题思路：启动docker服务和docker容器可查看到

50. 请分析服务器镜像，分析服务器定时任务自动执行备份任务文件名称为？*_（标准格式：abc）

答案：backup.sh.x

解题思路：使用 crontab -l 可以查看或者直接查看 /etc/crontab 除此之外，火眼也可直接查看

51. 请分析服务器镜像，涉案网站使用的容器映射到主机的端口为？*_（标准格式：3306）

答案：3308

解题思路：可通过docker ps查看容器映射情况

52. 请分析服务器镜像，涉案网站使用的容器的mysql服务版本号为？*_（标准格式：10）

答案：5.7.34

解题思路：由上题可以得到容器的mysql版本号

53. 请分析服务器镜像，涉案网站前端访问成功日志文件名为？*_（标准格式：admin.com.log）

答案：xiss.com.log

解题思路：（1）查看宝塔面板网站日志目录，发现存在xiss.com.log日志文件

54. 请分析服务器镜像，涉案网站后台对应的端口号为？*_（标准格式：1234）

答案：8081

解题思路：查看 acc.xiss.com.log 日志文件得到

55. 请分析服务器镜像，网站后台设置了允许访问后台的白名单IP，其IP为？*_（标准格式：127.0.0.1）

答案：

解题思路：

56. 请分析服务器镜像，分析网站后台“产品管理—产品列表”中编号为12的商品名称（祁门红茶）？*_

答案：西湖龙井

解题思路：可以通过网站查看，也可通过数据库直接查看wp_productinfo数据表

57. 请分析服务器镜像，分析网站后台使用的客服系统eid为？*_（标准格式：123456）

答案：

解题思路：

58. 请分析服务器镜像，分析涉案网站中绑定了中国银行和中国建设银行卡的用户总数量为？*_（标准格式：10）

答案：

解题思路：

59. 请分析服务器镜像，分析确认账户余额大于1000000的用户数量为？*_（标准格式：10）

答案：

解题思路：

60. 请分析服务器镜像，网站后台管理员密码加密方式，使用该加密方式对“admin888”加密得到的结果是？*_（标准格式：e10adc3949ba59abbe56e057f20f883e）

答案：

解题思路：