本文详细描述了一起IT安全事件,涉及监听33050端口的docker-proxy、MySQL和Redis/MongoDB数据库操作,包括root账号密码、数据目录、数据库名、勒索行为(手机号修改、用户删除、数据恢复需求)以及财务交易数据(HT币钱包地址、交易记录和USDT总额)的发现和分析。
检材3
1、检材3中,监听33050端口的程序名(program name)为
docker-proxy
使用仿真,先打开docker
systemctl start docker
再查看端口得到答案
netstat -napt
2、除MySQL外,该网站还依赖以下哪种数据库
在对admin-api.jar的逆向分析中,发现使用了redis以及mongodb
redis.mongo
3、检材3中,MySQL数据库root账号的密码是
在admin-api.jar里也能找到密码
shhl7001
4、检材3中,MySQL数据库在容器内部的数据目录为
docker exec -it 8eda4cb0b452 bash/var/lib/mysql
5、涉案网站调用的MySQL数据库名为
b1
6、勒索者在数据库中修改了多少个用户的手机号?
3
在 docker 中的 /var/lib/mysql 目录下,根据 docker-compose 的配置映射到宿主机上就在 /data/mysql/db 目录下,8eda4cb0b452.log可以导出来查看,比较方便,问修改的数量,过滤 update 关键字,在日志中有 8 处匹配,但实际上有关 mobile_phone 的日志只有 3 条
2022-10-18T08:48:06.120268Z 8 Query update admin set last_login_time='2022-10-18 04:48:06.114', last_login_ip=null where id=1
2022-10-18T08:48:21.016425Z 8 Query update admin set last_login_time='2022-10-18 04:48:21.023', last_login_ip='172.16.80.100' where id=1
2022-10-18T09:38:56.117223Z 9 Query update admin set last_login_time='2022-10-18 05:38:56.113', last_login_ip='172.16.80.197' where id=1
2022-10-19T03:20:39.001499Z 13 Query UPDATE `b1`.`member` SET `mobile_phone` = '13638991111' WHERE `id` = 9
2022-10-19T03:20:41.851525Z 13 Query UPDATE `b1`.`member` SET `mobile_phone` = '13282992222' WHERE `id` = 10
2022-10-19T03:20:44.184953Z 13 Query UPDATE `b1`.`member` SET `mobile_phone` = '13636993333' WHERE `id` = 11
2022-10-19T05:34:00.075764Z 10 Query select count(a.id) from member a , member_application b where a.id = b.member_id and b.audit_status = 2 and date_format(b.update_time,'%Y-%m-%d') = '2022-10-18'
2022-10-20T03:18:25.478485Z 10 Query update admin set last_login_time='2022-10-19 23:18:25.461', last_login_ip='172.16.80.100' where id=1
7、勒索者在数据库中删除的用户数量为
在log文件中可以搜索到有批量删除的记录 delete from b1 member··,记数一下有28个
8、 还原被破坏的数据库,分析除技术员以外,还有哪个IP地址登录过管理后台网站?用该地址解压检材4
172.16.80.197
用数据库分析工具来分析一下,172.16.80.197登录了管理后台的网址
9、还原全部被删改数据,用户id为500的注册会员的HT币钱包地址为
cee631121c2ec9232f3a2f028ad5c89b
用数据库取证工具分析b1数据库
10 、还原全部被删改数据,共有多少名用户的会员等级为'LV3'
164
将member数据库导出成csv结构,筛选出member_grade_id=3,有158条。但我们还要还原数据,实际上 member 表中还有 28 条被删除的用户记录,28 个用户中有6个 LV3,共164个
“SELECT count(member_grade_id) FROM member WHERE member_grade_id=3” 
11、还原全部被删改数据,用户id为500的注册会员的HT币钱包地址为
318.989
SELECT id from member where id not in (select member_id from member_transaction) 
12、 还原全部被删改数据,2022年10月17日总计产生多少笔交易记录?
1000
select count(*) from member_transaction where create_time BETWEEN "2022-10-17 00:00:00" and "2022-10-17 23:59:59" 
13、 还原全部被删改数据,该网站中充值的USDT总额为
408228
select sum(amount) from member_transaction 
6509
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
