第三届长安杯---检材二分析

               检材二分析

♥在比赛中一直使用远程连接工具发现不能连接，当时还更改了虚拟机的网络配置把他修改成桥接但始终不能连接到系统。在赛后复盘时恍然大悟，又get到一个小知识点，还需要积累经验啊。他这里的网络配置把ip地址配置成静态的，本机与其不在一个网段，使用远程连接工具是无法连接的。

 

12.检材二的原始硬盘的SHA256值为

注意这里问的是原始磁盘的sha256的值，需要把磁盘挂载出来进行计算。不能直接计算镜像的哈希值。

 

  

12.查询涉案于案发时间段内登陆服务器的IP地址为

Last   查看登录日志   结合案情分析可以得到ip

 

13.请对检材二进行分析，并回答该服务器在集群中承担的主要作用是（）

负载均衡/流量转发    根据分析可知道检材二并没有实际的数据处理，只是将流量转发到后台服务器

14.上一题中，提到的主要功能对应的服务监听的端口为：

对端口的分析主要看配置文件和系统端口开放情况

 

分析其日志发现其之前多次进入一个路径   推测可能为嫌疑人搭站时对网站的配置文件进行的一些修改。进入该路径查看。

 

发现两个js文件

分别查看两个文件

 

查看app.js文件时没有找到相关的配置信息

查看另外一个js文件  找到服务器进行流量转发的端口  80

 

16上一题中，提到的服务所使用的启动命令为

分析其history日志  在嫌疑人对网站服务进行配置的时候可以看到其多次使用了一个命令 node app.js   

之前在查看网站的配置文件的时候也看到过这个js文件

 

 

结合其源码   然后百度了一下这个命令，发现其是开启服务的命令。

实际测试一下这个命令

服务未开启前的端口号

 

输入该命令后  发现端口开启所以可以断定这就是开启服务的命令。

 

17经分析，该服务对于请求来源IP的处理依据是：根据请求源IP地址的第（3）位进行判断

 

在其服务的配置文件下面有个很重要的东西。Readme.txt,现在很多的网站都是使用开源的源代码，在开源网站下载下来对代码进行修改，这个txt文件类似于这个源码的说明。

查看该文件

 

根据提示查看其反向代理的文件

 

发现其处理依据是ip地址的第三位

18.经分析，当判断条件小于50时，服务器会将该请求转发到IP为（）的服务器上【标准格式：

111.111.111.111】

 

查看上题所对应的配置文件即可找到  

192.168.110.111

19请分析，该服务器转发的目标服务器一共有几台【标准格式：9】接上题的配置文件可以得到  转发的服务器共三台

20请分析，受害者通讯录被获取时，其设备的IP地址为【标准格式：111.111.111.111

 

之前在分析网站的配置文件时  在同一目录发现了日志文件查看日志文件继续分析

 

结合后续的手机分析  找到具体的时间来查找日志

根据之前的十三题答案，得到检材四的解压密码分析手机的相关信息

 

在24日嫌疑人已经获取到了受害人的通讯录，现在要做的是24日最后的几个登录日志都是一个ip   且http流量包显示源系统为安卓传输的文档为txt可以推断出此时嫌疑人

 

此时的设备ip为192.168.110.152

对于这里检材二为什么会有日志记录，不难理解。受害人在手机上安装apk后，窃取相关的数据通过负载均衡服务器也就是检材二将数据转发到我们数据存储服务器上。负载均衡服务器会记录详细的日志情况。类似于监听。

21请分析，受害者的通讯录被窃取之后，经由该服务器转发到了IP为（）的服务器上【标准格

式：111.111.111.111】

接上题查看其日志可以看到通讯录被窃取后转发到192.168.110.113的服务器