检材三概况
检材三主要是对宝塔的分析,宝塔是用来快速搭建网站的。之前实习的时候见过,现在的很多案件的网站都是使用宝塔模板搭建的网站。这里需要熟练宝塔的一些基础命令的使用,和相关的配置文件。
22.检材三的原始硬盘的SHA256值为:
一眼看到这个题觉得很简单送分题啊,但是解压完检材三发现有三个镜像,瞬间懵了不知道算那个。结合上题对检材二中的日志分析发现流量均转发到web3的镜像所以这里的哈希值应该是去计算web3的原始磁盘的哈希值
此处需要对其进行挂载 再计算其哈希值(注意这点就不会有问题)
23请分析第21题中,所指的服务器的开机密码为:
取证的题目也不能完全按部就班的做题,要结合所有检材来分析
根据后续的检材四对pc的分析 嫌疑人使用xshell连接到服务器查看其连接日志。 honglian7001
24.嫌疑人架设网站使用了宝塔面板,请问面板的登陆用户名为
在打开宝塔面板的时候出现了一些问题,因为虚拟机配置的网卡是静态的,需要对网络配置进行一些修改才能从本机连接到宝塔的登录面板。
这里记录下对于网络配置的一些记录
对虚拟机的网络配置,我这里采用的是仅主机模式,注意这里的网卡Vmnet1
对本机的网卡也需要进行配置
修改网卡的共享设置
对本机对应网卡的tcp的属性进行配置 与虚拟机一个网段
配置完成后使用ssh工具直接连接.也可以就在虚拟机分析
bt default即可查看相关信息
宝塔登录名为:hl123
根据信息显示的具体网址进入宝塔面板
- 请分析用于重置宝塔面板密码的函数名为
尝试登录了几次发现密码不队,新版本的宝塔可以重置密码
输入bt
选择修改密码对应的命令编号 5
密码已经修改好了,使用修改好的密码即可登录宝塔面板。
分析宝塔的相关文件 进入其配置文件夹
查看tools.py
分析其代码 找到对应的命令编号分析
找到其处理命令编号5的代码段 发现其调用了一个函数
找到了其定义的这个函数
26.请分析宝塔面板登陆密码的加密方式所使用的哈希算法为
可以看到其进行了一次md5加密
27.请分析宝塔面板对于其默认用户的密码一共执行了几次
上题中的哈希算法
接上题导出上题的tools.py文件进行分析,没有找到定义的类在宝塔的配置文件中/www/server/panel/class class文件夹中有一个public.py的文件 推测可能跟这里的类有关 导出分析一下 搜索password salt等值找到定义的函数
发现其进行了两次md5加密 再加上其之前的一共进行了3次md5加密。
28.请分析当前宝塔面板密码加密过程中所使用的salt值为【区分大小写】
在分析宝塔的配置文件的时候找到了一个数据库文件
/www/server/panel/data
在该路径下找到一个default.db的数据库文件
使用navicat打开这个数据文件
在user表中找到salt值
29.请分析该服务器,网站源代码所在的绝对路径为
登录进宝塔即可看到网站的绝对路径
30请分析,网站所使用的数据库位于IP为()的服务器上(请使用该IP解压检材5,并重构网
站)【标准格式:111.111.111.111】
分析网站的数据库ip则要从网站的配置文件开始分析,分析网站的源代码。在宝塔里面可以清晰的看到网站的源代码。
在app文件夹中找到了database.php的文件
找到数据库的ip 192.168.110.115