本文详细记录了一次电子数据取证的过程,涉及Linux命令、Windows版本识别、Docker操作、数据库连接及密码解密等技术,通过火眼、取证大师等工具进行深入分析,揭示了网络日志、邮件信息、数据库访问等多个关键信息。
文章目录
- 写在前面
- 解题
- 1、D
- 2、 3.10.0
- 3、2099200
- 4、32000
- 5、3
- 6、192.168.99.3
- 7、192.168.99.222
- 8、192.168.1.176
- 9、18
- 10、2D926D5E1CFE27553AE59B6152E038560D64E7837ECCAD30F2FBAD5052FABF37
- 11、18363.1082
- 12、2020-09-22 13:15:34
- 13、2020-09-18 17:57
- 14、6
- 15、8091
- 16、docker-proxy
- 17、www.sdhj.com
- 18、sstt119999
- 19、telegram
- 20、dogcoin
- 21、DPBEgbwap7VW5HbNdGi9TyKJbqTLWYYkvf
- 22、2020-09-20 12:19:46
- 23、4000
- 24、zzzxxx
- 25、5E5EF1E2B76CA859BBBDC7018E52501B408FF37E3C629506DBA1FC1D16150652
- 26、2020-09-20 12:53:00
- 27、honglian7001
- 28、Xshell
- 29、qwer1234!@#$
- 30、FF593FCCB3770B8845A3334631F8E80807638EE722C5AA7B34E877589857C3BA
- 31、C
- 32、card
- 33、C:\inetpub\wwwroot\v7w
- 34、80
- 35、dllogin.aspx
- 36、0v0
- 37、App_Web_dllogin.aspx.7d7c2f33.dll
- 38、AESEncrypt
- 39、192.168.1.174
- 40、c4f2737e88
- 41、1433
- 42、E5E548CCAECD02608A0E053A5C7DCDBFBDD4BE5B0E743EB9DC8E318C369BEBC8
- 43、abe6d2ee630379c3
- 44、26
- 45、32
- 46、1066449
- 47、2829
- 48、1066449
- 49、d0fdd7a9a010d37e
- 50、2016-09-05 17:09:13
- 结语
- 参考资料
写在前面
取证工具: 取证大师V6.1.80018RTM、弘连火眼证据分析软件V4.11.2.30563、弘连火眼仿真取证V4.1.1.2972、VMware Workstation
解题
1、D
2、 3.10.0
查看linux内核命令:
uname -a
3、2099200
4、32000
查看网络情况:
netstat -anpt
netstat -tunlp
docker服务启动:
service docker start
docker查看镜像:
docker images
docker查看正在运行的容器:
docker ps -a
docker进入容器命令:
docker exec -it 容器id /bin/bash
开启仿真的sshd服务需要检验sshd配置是否可用:
vi /etc/ssh/sshd_config
本题思路:
取证大师搜索kkzjc:
在仿真里找到对应文件:
listen即为对外开放端口
5、3
6、192.168.99.3
这题在做检材2的题目之前,并不好得到原始ip,先放着。等我们做到第15题时,在chrome浏览器的浏览记录里比对之前服务器的日志,可以轻松得到原始ip
7、192.168.99.222
使用exec进入docker想查看/var/log/nginx/access.log文件,结果显示该文件为link文件,无法cat:
我们exit退出,使用:
docker logs 容器id
可以查看到该容器的日志
这道题我们也可以直接用last命令,查看9月份的内容即可得到登录ip。
8、192.168.1.176
进入docker容器,history发现曾经查看过nginx.conf和hl.conf,分别查看,最后在
/etc/nginx/conf.d/hl.conf
中发现反向代理的ip:
9、18
在mobaxterm中使用
docker logs 容器id > /tmp/docker.log
获取容器日志,并将其输出到文本文件中,使用sublime打开该文件,搜索192.168.99.222,得到18个匹配项
10、2D926D5E1CFE27553AE59B6152E038560D64E7837ECCAD30F2FBAD5052FABF37
使用火眼计算下哈希即可。
11、18363.1082
查看Windows版本号:
18363.1082
仿真里查看:设置->系统->关于
12、2020-09-22 13:15:34
取证大师案例概览可以看到
13、2020-09-18 17:57
14、6
15、8091
见第6题
16、docker-proxy
17、www.sdhj.com
见第6题
18、sstt119999
题目问微信的id,仿真后的win10中并没有微信应用。我们敏锐地联想到手机。
取证大师中搜索iphone,发现my phone.tar文件。
放到火眼里快速分析。
19、telegram
20、dogcoin
微信聊天记录中有,gougoubi:(图片违反社区规定过不了审就不放图了)
21、DPBEgbwap7VW5HbNdGi9TyKJbqTLWYYkvf
扫一下二维码
22、2020-09-20 12:19:46
23、4000
24、zzzxxx
仿真检材2,发现其中存在vmware,运行之后显示window10虚拟机需要密码。我们把虚拟机所在目录下的文件
Windows 10 x64.vmx
拷下来。
在git上找
pyvmx-cracker
,然后使用
python pyvmx-cracker.py -v Windows 10 x64.vmx -d wordlist.txt
命令进行密码爆破,最后得到密码为:zzzxxx
25、5E5EF1E2B76CA859BBBDC7018E52501B408FF37E3C629506DBA1FC1D16150652
在使用火眼分析vmdk来查看邮箱信息之前,需要打开VMware将vmdk的密码移除(注意要把该虚拟机的所有文件导出来放在一个文件夹内)。
然后即可进行快速分析,得到邮件中的图片:
26、2020-09-20 12:53:00
27、honglian7001
28、Xshell
火眼分析windows10.vmdk可以在远程连接条目看到
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uc8rJz9J-1634730318647)(https://cdn.jsdelivr.net/gh/lqh11/image_upload@master/images/xshell密码.3z4582gaphg0.png)]
29、qwer1234!@#$
同第28题
30、FF593FCCB3770B8845A3334631F8E80807638EE722C5AA7B34E877589857C3BA
31、C
分析检材3,在基本信息->操作系统信息中可以看到
32、card
33、C:\inetpub\wwwroot\v7w
34、80
35、dllogin.aspx
火眼有一个功能很好用,我们可以右键一个文件,点击“在文件资源管理器打开”,即可在本机直接查看文件。
这样我们可以用本机的编辑器打开方便查看。
我是在phpstorm中打开的,我们直接看webconfg,搜索login:
因为我们之前在日志中查看浏览记录都是在dl文件夹下的,所以正常的登录界面应该是:
/dr/login/dllogin.aspx
即此页面:
36、0v0
打开/dr/login/dllogin.aspx,查看js代码可以很容易看到盐值为0v0
37、App_Web_dllogin.aspx.7d7c2f33.dll
38、AESEncrypt
现在需要对该文件进行逆向,我们使用dnSpy分析工具查看:
39、192.168.1.174
将网站bin文件夹下的DBManager.dll放入dnSpy分析,查看源码,搜索192,得到数据库地址、名称和密码以及端口:
但这些信息中的密码是错误的,其源码一开始的DBcon函数中存在的数据库地址等信息的加密信息才是正确信息:
同时DBManager也存在Encryption函数,我们使用powershell进行解密即可:
PS C:\hlnet\1-1634634961\检材3.E01\分区6\inetpub\wwwroot\v7w\bin> Add-Type -Path .\DBManager.dll
PS C:\hlnet\1-1634634961\检材3.E01\分区6\inetpub\wwwroot\v7w\bin> [DBManager.Encryption]::AESDecrypt("Mcyj19i/VubvqSM21YPjWnnGzk8G/GG6x9+qwdcOJd9bTEyprEOxs8TD9Ma1Lz1Ct72xlK/g8DDRAQ+X0GtJ8w==", "HL", "forensix")
server=192.168.1.174,1433;uid=sa;pwd=c4f2737e88;database=v7sq3;
PS C:\hlnet\1-1634634961\检材3.E01\分区6\inetpub\wwwroot\v7w\bin>
40、c4f2737e88
见第39题
41、1433
见第39题
42、E5E548CCAECD02608A0E053A5C7DCDBFBDD4BE5B0E743EB9DC8E318C369BEBC8
43、abe6d2ee630379c3
开启数据库容器:
docker start 3f
重构之前我们需要把检材4仿真的虚拟机设置为静态ip——192.168.1.174,并使得检材3的虚拟机与检材4的虚拟机处于同一子网,使两者可以相互连接。
我们再使用
service mssql-server start
打开mssql服务,然后使用navicat连接:
之后可以查看数据库的用户表:
我们要登录dl界面,需要使用liwente1314520的密码登录,其他为1的无法登录。但我们很难复现加密算法,我们可以将返回的错误信息编译为我们自己输入的密码的加密值,然后修改数据库对应的加密密码即可实现绕过。
但是该数据库还有域名限制,需要设置域名白名单,把检材3的ip放进去才可以登录成功。
最后成功登录:
点击“代理信息”可以看到推广链接的id。
44、26
45、32
查看TU_User表
46、1066449
说是用网镜批量提取页面导出csv,再筛选获取总额,但使用批量处理时选择行一直报 iframe 错误,不知道咋整。。
47、2829
在navicat中建立查询:
SELECT count(*) FROM TX_IpLog where left(XIL_Info,6)='湖北省武汉市'
48、1066449
我们在用户列表找到liyun10,点击“后台”,发现跳转失败,我们需要在链接前加上服务器ip
49、d0fdd7a9a010d37e
(图片违反社区规定过不了审就不放图了)
50、2016-09-05 17:09:13
虽然排查登录日志发现与答案不符,不知道是什么原因
结语
好难呜呜呜,还是要多多学习
参考资料
B站BV号:BV1Y5411L7CT
2126
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
