2022长安杯案情背景:某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗,该网站号称使用”USTD币“购买所谓的"HT币”,受害人充值后不但 “HT币”无法提现、交易,而且手机还被恶意软件锁定勒索。警方根据受害人提供的虚拟币交易网站调取了对应的服务器镜像并对案件展开侦查 检材密码:
2022.4th.changancup!
1.检材1的SHA256值为
E48BB2CAE5C1D93BAF572E3646D2ECD26080B70413DC7DC4131F88289F49E34
2.分析检材1,搭建该服务器的技术员IP地址是多少?用该地址解压检材2
3.检材1中,操作系统发行版本号为
仿真服务器后输入命令:uname -r
4. 检材1系统中,网卡绑定的静态IP地址为
查看静态ip:cat /etc/sysconfig/network-scripts/ifcfg-ens33
5. 检材1中,网站jar包所存放的目录是(答案为绝对路径,如“/home/honglian/”)
查看检材一的历史命令:发现很多jar包都存在于 /web/app这个目录下
去该,目录下发现有五个jar包,这是一个关于java的网站。对于jar包的源码分析利用JD-GUI反编译工具打开。
6. 检材1中,监听7000端口的进程对应文件名为
把jar包用jd-gui反编译软件打开发现是 cloud.jar
7 、检材1中,网站管理后台页面对应的网络端口为
在检材二pc机浏览记录里可以看到网页后台的网址对应的端口是:9090
思路:网页登录记录应该去浏览器记录找找
自身网络配置,使虚拟机能联网才能ping通
8.检材1中,网站前台页面里给出的APK的下载地址是
思路:APK链接下载在网页前台对源码分析找下载地址,这里需要把网站重构起来,自己搭建起来。比赛过程中这题可以先放放,后面还有很多需要搭建网站的地方。
在检材二的D盘里面:
发现一个建站笔记,这个网站必须先启动后端全部组件,再启动前端,而且启动jar包还有顺序,在此文件夹里面有前端和后端启动脚本.
打开star_web.sh后里面就有jar包的启动顺序,可以将启动脚本放在检材一中启动,也可以根据启动命令顺序手动启动jar包,然后查看端口是否开启,到9090端口为网站管理
我们发现 /web/app目录下没有start_web.sh这个脚本文件,而且分析检材一的history发现被删除了,所以需要我们用xhell连接并将文件放进去或者你手打也行(还好不是很多)
配置文件权限不足得修改:
Chmod 777 start_web.sh
启动命令:./start_web.sh
后台启动:
检材1的历史命令中频繁出现npm run dev,用于启动vue项目,启动完之后即可访问网页
开启前端:
cd /web/app/web
npm run dev
开启后台服务:
cd /web/app/admin
npm run dev
前端起来了:
9090端口可以访问网站后台管理页面,用户名为root,密码为root,就可以登录。
root密码在网站浏览器里保存的密码可以看见
通过二维码解析的到下载地址
9. 检材1中,网站管理后台页面调用的用户表(admin)里的密码字段加密方式为?
对于密码加密的方式就要逆向分析,由于是用户admin,猜到去看一下admin-api.jar这个包
这里看到了数据库的来源:mysql://172.16.80.128:33050/b1,账号root,密码:shhl7001
猜测加密方式是md5,我们在这里搜索一下:
确实是md5加密而且密钥为:
XehGyeyrVgOV4P8Uf70REVpIw3iVNwNs
bdtop.system.md5.key=XehGyeyrVgOV4P8Uf70REVpIw3iVNwNs
10. 分析检材1,网站管理后台登录密码加密算法中所使用的盐值是
XehGyeyrVgOV4P8Uf70REVpIw3iVNwNs
8605
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
