2021第三届长安杯检材三复盘

22、检材三的原始硬盘的SHA256值为：

205C1120874CE0E24ABFB3BB1525ACF330E05111E4AD1D323F3DEE59265306BF

23请分析第21题中，所指的服务器的开机密码为：【答案：honglian7001】

取证的题目也不能完全按部就班的做题，要结合所有检材来分析

根据后续的检材四对pc的分析    嫌疑人使用xshell连接到服务器查看其连接日志。  

查看该文件:找到bt命令修改密码的代码逻辑，发现当我们用bt命令输入5之后，其修改逻辑调用了set_panel_pwd(input_pwd.strip(),True)函数，进而查找该函数发现当我们修改宝塔面板密码的时候调用了public类中的password_salt方法，猜测这里跟密码的salt值有关

在面板目录中的class口录下，发现了public.py文件，查看该文件，找到了密码的加盐算法，盐值为一个12为随机数，分析发现该上面两个文件都(import db）导入了db,查找发现了default.db文件位于宝塔面板工作目录下的data目录中，为sqlite数据库，使用工具查看该文件，在user表中发现了宝塔默认用广的加密密码盐值wrZdlxSmbxFL

24、 嫌疑人架设网站使用了宝塔面板，请问面板的登陆用户名为：【答案】：hl123

 在打开宝塔面板的时候出现了一些问题，因为虚拟机配置的网卡是静态的，需要对网络配置进行一些修改才能从本机连接到宝塔的登录面板。

这里记录下对于网络配置的一些记录

对虚拟机的网络配置，我这里采用的是仅主机模式，注意这里的网卡Vmnet1

对本机的网卡也需要进行配置

将镜像仿真起来

• bt
• bt default

25、 请分析用于重置宝塔面板密码的函数名为【答案：set_panel_pwd】

尝试登录了几次发现密码不队，新版本的宝塔可以重置密码

输入bt

分析宝塔的相关文件   进入其配置文件夹

wwwlogs 这是网站访问日志，一般有错误日志，和成功访问日志。如果访问量大 那么访问日志会比较大。

wwwroot  网站文件

server 服务器面板

server 这个应该主要是宝塔内容。子目录主要跟安装了多少软件有关。

cron， 应该是计划任务。 没有扩展名，就是任务脚本。还有个文件就是计划任务的执行日志。

data，看起来像 mysql 等数据库的数据文件。

monodb ,mysql 数据库程序。

nginx，php 等。好几个文件里有 perl 脚本文件。当然还有更多的 python 文件。

/www/server/panel

还有个 panel 文件夹。看起来是宝塔面板代码。

pannel 的子文件夹有

btpanel， 面板

里面还有界面模板，/www/server/panel/BTPanel/templates/default

里面有面板界面上点击操作的代码，如果想魔改界面，也许就是优化这个文件夹。

backup

class

config，配置

data，里面看起来杂

install，安装脚本。有安装 nginx 的，还有就是安装 php 扩展。如果要给 nginx，php 等加模块，也许要修这里再编译。

package ,这里是一键安装的软件程序，php 程序。

plugin 是软件商店的三方插件。如果能写一个，再注册到面板菜单，应该也能显示出来。

rewrite 里宝塔预设的网站的重写规则，伪静态等。有 apache 和 nginx 两目录。

/www/server/panel/script

script，各种脚本backup backup.py GetOS.sh logsBackup rememory.sh

backup_alioss.py ftp.sh install.sh logsBackup.py

ssl  证书文件

vhost 是网站的配置文件。

找到其处理命令编号5的代码段  发现其调用了一个函数 ， 找到其处理命令编号5的代码段  发现其调用了一个函数 

26.请分析宝塔面板登陆密码的加密方式所使用的哈希算法为【答案：md5】

继续分析代码，登录密码使用的加密方式为MD5

27、请分析宝塔面板对于其默认用户的密码一共执行了几次上题中的哈希算法

上题中的哈希算法

接上题导出上题的tools.py文件进行分析，没有找到定义的类在宝塔的配置文件中/www/server/panel/class   class文件夹中有一个public.py的文件  推测可能跟这里的类有关  分析一下  搜索password  salt等值找到定义的函数

发现其进行了两次md5加密  再加上其之前的一共进行了3次md5加密。

28、 请分析当前宝塔面板密码加密过程中所使用的salt值为【答案：v87ilhAVumZL】

在分析宝塔的配置文件的时候找到了一个数据库文件

/www/server/panel/data

在该路径下找到一个default.db的数据库文件

使用navicat打开这个数据文件

在user表中找到salt值

29、 请分析该服务器，网站源代码所在的绝对路径为【答案：/www/wwwroot/www.honglian7001】

进入宝塔面板，站点处查看到网站路径

30、 请分析，网站所使用的数据库位于IP为（）的服务器上（请使用该IP解压检材4，并重构网 站）【答案：192.168.110.115】 

分析网站的数据库ip则要从网站的配置文件开始分析，分析网站的源代码。在宝塔里面可以清晰的看到网站的源代码。

在app文件夹中找到了database.php的文件