2023首届盘古石杯晋级赛复盘

晋级赛通排61，学生组39，折在大小写格式上的题太多了qaq

容器密码：usy1UN2Mmgram&^d?0E5r9myrk!cmJGr

Android程序分析

1.涉案应用刷刷樂的签名序列号是(答案格式：123ca12a)(★☆☆☆☆)

11fcf899

雷电APP跑的时候前面加了0x

2.涉案应用刷刷樂是否包含读取短信权限(答案格式：是/否)(★★☆☆☆)

否

3.涉案应用刷刷樂打包封装的调证ID值是(答案格式：123ca12a)(★★☆☆☆)

a6021386163125

4.涉案应用刷刷樂服务器地址域名是(答案格式：axa.baidun.com)(★★★☆☆)

vip.shuadan.com

5.涉案应用刷刷樂是否存在录音行为(答案格式：是/否)(★★★☆☆)

是

雷电APP跑不出来录音权限

6.涉案应用未来资产的包名是(答案格式：axa.baidun.com)(★☆☆☆☆)

plus.h5ce4b30d

7.涉案应用未来资产的语音识别服务的调证key值是(答案格式：1ca2jc)(★★☆☆☆)

53feacdd

8.涉案应用未来资产的服务器地址域名是(答案格式：axa.baidun.com)(★★★☆☆)

vip.usdtre.club

9.涉案应用未来资产的打包封装的调证ID值是是(答案格式：axa.baidun.com)(★★☆☆☆)

h5ce4b30d

移动智能终端取证

容恨寒安卓手机

1.根据容恨寒的安卓手机分析，手机的蓝牙物理地址是(答案格式：B9:8B:35:8B:03:52)(★☆☆☆☆)

A9:8B:34:8B:04:50

2.根据容恨寒的安卓手机分析，SIM卡的ICCID是(答案格式：80891103212348510720)(★☆☆☆☆)

89014103211118510720

3.根据容恨寒的安卓手机分析，团队内部沟通的聊天工具程序名称是(答案格式：微信)(★☆☆☆☆)

Potato

4.根据容恨寒的安卓手机分析，团队内部沟通容恨寒收到的最后一条聊天信息内容是(答案格式：好的)(★★★☆☆)

后面再给你们搞

找potato的数据库，在data里面找到应用对应的数据库文件，盘古石直接导出的db居然是空的

把坚果解压后在文件夹里面找，navicat查看，这个里面的数据存在

把内容保存出来，全部base64解密

import base64
a=open('C:\\Users\\五五六六\\Desktop\\1.txt', 'r', encoding='UTF-8')
b=open('C:\\Users\\五五六六\\Desktop\\12.txt', 'w', encoding='UTF-8')


listOfLines  =  a.readlines()
for  line in  listOfLines:
    c=line.strip()
    d=base64.b64decode(c).decode('utf-8')
    b.write(d+'\n')


a.close()
b.close()

题目说的是“容恨寒收到的最后一条聊天信息”，对应TONAME，就是倒数第三行“后面再给你们搞”

5.根据容恨寒的安卓手机分析，收到的刷单.rar的MD5值是(答案格式：

202cb962ac59075b964b07152d234b70)(★★☆☆☆)

dc52d8225fd328c592841cb1c3cd1761

6.根据容恨寒的安卓手机分析，收到的刷单.rar的解压密码是(答案格式：abcdg@1234@hd)(★★★☆☆)

wlzhg@3903@xn

聊天记录里有密码规则

wlzhg@3903@xn成功

7.根据容恨寒的安卓手机分析，发送刷单.rar的用户的手机号是(答案格式：15137321234)(★★★★☆)

15137326185

把body这一列解密

找到刷单.rar

对应的就是这一行，德彦慧

找到

8.根据容恨寒的安卓手机分析，发送多个报表的用户来自哪个部门(答案格式：理财部)(★★★★★)

技术部

这些全是报表

来自臧觅风

臧觅风的id是229

229的部门id是109

109是技术部

9.根据容恨寒的安卓手机分析，MAC的开机密码是(答案格式：asdcz)(★☆☆☆☆)

apple

10.根据容恨寒的安卓手机分析，苹果手机的备份密码前4位是(答案格式：1234)(★☆☆☆☆)

1976

魏文茵苹果手机

11.根据魏文茵苹果手机分析，IMEI号是？(答案格式:239471000325479)(★☆☆☆☆)

358360063200634

12.根据魏文茵苹果手机分析，可能使用过的电话号码不包括？(答案格式:13527821339)(★☆☆☆☆)

A：18043618705 B：19212175391

C:19212159177 D:18200532661

D

AC在苹果手机里

B在安卓手机里

臧觅风的安卓手机

13.根据臧觅风的安卓手机分析，微信ID是(答案格式：wxid_av7b3jbaaht123)(★☆☆☆☆)

wxid_kr7b3jbooht322

14.根据臧觅风的安卓手机分析，在哪里使用过交友软件(答案格式：杭州)(★★★☆☆)

西安

15.根据臧觅风的安卓手机分析，嫌疑人从哪个用户购买的源码，请给出出售源码方的账号(答案格式：1234524229)(★☆☆☆☆)

5768224669

16.根据臧觅风的安卓手机分析，购买源码花了多少BTC？(答案格式：1.21)(★☆☆☆☆)

0.08

17.根据臧觅风的安卓手机分析，接收源码的邮箱是(答案格式：asdasd666@hotmail.com)(★☆☆☆☆)

molihuacha007@hotmail.com

容恨寒苹果手机

在容恨寒的电脑中有一个手机备份

18.嫌疑人容恨寒苹果手机的IMEI是?(答案格式:2000-01-01)(★★☆☆☆)

353271073008914

19.嫌疑人容恨寒苹果手机最后备份时间是?(答案格式:2000-01-01 13:36:25)(★★☆☆☆)

2023-04-12 21:20:59

20.嫌疑人容恨寒苹果手机“易信”的唯一标识符（UUID）？(答案格式:2000-01-01)(★★★★☆)

00A6A0C7-AD52-4FC2-9064-6D7BE58DBCE6

21.嫌疑人容恨寒苹果手机微信ID是?(答案格式:2000-01-01)(★☆☆☆☆)

04:52:C7:FD:2C:64

这个微信ID，我得到的答案和官方不一样，很奇怪，不知道在哪找的

计算机取证

魏文茵计算机

1.嫌疑人魏文茵计算机的操作系统版本?(答案格式:Windows 7 Ultimate 8603)(★☆☆☆☆)

Windows 10 Professional 14393

2.嫌疑人魏文茵计算机默认的浏览器是?(答案格式:Internet Explorer)(★☆☆☆☆)

A：Edge B:Internet Explorer C:Google ChromeD:360浏览器

C

3.嫌疑人魏文茵计算机中以下那个文档不是嫌疑人最近打开过的文档?(答案格式:D)(★☆☆☆☆)

A：掠夺攻略.docx B：工资表.xlsx C:刷单秘籍.docx

D:脚本.docx

A

4.嫌疑人魏文茵计算机中存在几个加密分区?(答案格式:3个)(★★☆☆☆)

1个

5.嫌疑人魏文茵计算机中安装了哪个第三方加密容器?(答案格式:VeraCrypt))(★☆☆☆☆)

TrueCrypt

6.接上题，嫌疑人魏文茵计算机中加密容器加密后的容器文件路径？(答案格式:C:\xxx\xxx)(★★☆☆☆)

C:\Users\WH\Documents

7.嫌疑人魏文茵计算机中磁盘分区BitLocker加密恢复秘钥为?(答案格式: 000000-000000-000000-000000-000000-000000-000000-000000))(★★★☆☆)

000649-583407-395868-441210-589776-038698-479083-651618

8.嫌疑人魏文茵计算机中BitLocker加密分区中“攻略.docx”文档里涉及多少种诈骗方式?(答案格式:11)(★☆☆☆☆)

38

9.投资理财团伙“华中组”目前诈骗收益大约多少?(答案格式:10万)(★★☆☆☆)

100万

魏文茵计算机内存

10.通过对嫌疑人魏文茵计算机内存分析，print.exe的PID是？(答案格式:123)(★★☆☆☆)

728

不得不说它是真快

臧觅风计算机

半年收益

lima要的马

11.根据臧觅风的计算机分析，请给出技术人员计算机“zang.E01”的SHA-1?(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)(★☆☆☆☆)

239F39E353358584691790DDA5FF49BAA07CFDBB

问的是镜像的SHA-1：239F39E353358584691790DDA5FF49BAA07CFDBB，不是检材的SHA-1

12.根据臧觅风的计算机分析，请给出该技术人员计算机“zang.E01”的总扇区数？(答案格式:100,000,000)(★★☆☆☆)

536,870,912

13.根据臧觅风的计算机分析，以下那个文件不是技术人员通过浏览器下载的？(答案格式:A)(★☆☆☆☆)

A.WeChatSetup.exe

B.aDrive.exe

C.Potato_Desktop2.37.zip

D.BaiduNetdisk_7.27.0.5.exe

D

14.根据臧觅风的计算机分析，请给出该技术人员邮件附件“好东西.zip”解压密码？(答案格式:abc123)(★★★★★)

kangshifu0008

开个代理，把附件下载下来

是网站的源码，和刷单+客服

聊天记录里有相关信息，密码是他邮箱，即kangshifu0008@gmail.com

直接解压不正确，应该是没有后缀，密码的信息存储在TC容器里面，相关分析在后面第19题

15.根据臧觅风的计算机分析，该技术人员电脑内曾通过远程管理工具连接过服务器“master.k8s.com”,请给出连接的端口号？(答案格式:22)(★★☆☆☆)

2282

仿真后SecureCRT里

16.根据臧觅风的计算机分析，接上题，请给出服务器的密码？(答案格式:password(★★★★☆)

P@ssw0rd

17.根据臧觅风的计算机分析，据该技术人员交代，其电脑内有个保存各种密码的txt文件，请找出该文件，计算其MD5值？(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)(★★★★★)

C1934045C3348EA1BA618279AAC38C67

passwords.txt

18.根据臧觅风的计算机分析，该技术人员曾使用过加密容器反取证技术，请给出该容器挂载的盘符？(答案格式:A)(★☆☆☆☆)

F

19.根据臧觅风的计算机分析，请给出该技术人员电脑内keePass的Master Password？(答案格式:password12#)(★★★★☆)

xiaozang123!@#

加密容器，5个G的资料，容器应该就是他

efdd解密

我的efdd不能直接装载，只能将加密容器解密后另存一个镜像文件了

用FTK挂载在本地F盘

成功

里面的新建文本文档就是密码

keepass是密码管理工具，用上图密码打开keepass，得到一些密码

用TC的密码加载名为资料的容器Zang!@#123

里面是这些，tor浏览器指向暗网

20.根据臧觅风的计算机分析，请给出该技术人员所使用的爬虫工具名称？(答案格式:xxx)(★★☆☆☆)

后羿采集器

21.根据臧觅风的计算机分析，接上题，该技术人员通过该采集器一共采集了多少条人员信息数据？[答案格式:10,000][★★★★★]

19,224

官方答案是19,225，不知道差一个在哪

之前在容恨寒手机看到里面有数据，potato

找到，导出

中国证券100

人员信息17

深圳市住房和建设18970

仓山市96

清华大学29

邹平市人民政府12

22.根据臧觅风的计算机分析，以下那个不是该技术人员通过爬虫工具采集的数据？(答案格式:A)(★☆☆☆☆)

A.中国证券投资基金业协人员信息

B.仓山区市场监督管理局行政执法人员信息

C.清平镇卫生院基本公共卫生服务

D.仓山区市场监督管理局行政执法人员信息

C

23.根据臧觅风的计算机分析，该嫌疑人曾浏览过“阿里云WebDAV”，请给出该“阿里云WebDAV”端口号？(答案格式:2211)(★★☆☆☆)

8080

接后面的软路由分析

24.根据臧觅风的计算机分析，请给出该技术人员电脑内代理软件所使用的端口号？(答案格式:2211)(★★☆☆☆)

7890

25.根据臧觅风的计算机分析，接上题，请给出该代理软件内订阅链接的token？(答案格式:abc1234df334…)(★★☆☆☆)

d4029286acc8bfd97818d5f8724f0f0a

26.根据臧觅风的计算机分析，请给出该技术人员电脑内用于内部通联工具的地址和端口？(答案格式:www.baidu.com:1122)(★★★☆☆)

im.pgscup.com:6661

potato双击

臧觅风计算机内存

27.根据臧觅风的计算机分析，请给出该电脑内存镜像创建的时间（北京时间）？(答案格式:2023-05-06 14:00:00)(★☆☆☆☆)

2023-04-27 17:57:53

北京时间UTC+8

28.根据臧觅风的计算机分析，以下那个不是“chrone.exe”的动态链接库？(答案格式:A)(★★★★☆)

A.ntdll.dll

B.iertutil.dll

C.wow64cpu.dll

D.wow64win.dll

B

29.根据臧觅风的计算机分析，请给出“\REGISTRY\MACHINE\SYSTEM”在内存镜像中的虚拟地址是多少？(答案格式:0xxxxx123…)(★★☆☆☆)

0xffffab861963e000

30.根据臧觅风的计算机分析，据嫌疑人交代，其电脑上曾存打开过一个名为“账号信息.docx”的文档，请给出该文档的最后访问时间（北京时间）？(答案格式:2023-05-06 14:00:00)(★★★★☆)

2023-04-27 17:55:32

31.根据臧觅风的计算机分析，接上题，请给出该文档的存储路径？(答案格式:C:\xxx\xxx)(★★★☆☆)

D:\backup\mydata

容恨寒苹果电脑

密码是apple

32.嫌疑人容恨寒苹果电脑的系统版本名称是？(答案格式:注意大小写)(★☆☆☆☆)

macos 12.6

33.嫌疑人容恨寒苹果电脑操作系统安装日期是？(答案格式:2000-01-01)(★★☆☆☆)

2022-10-09

34.嫌疑人容恨寒苹果电脑的内核版本是？(答案格式:xxxxx 11.0.4，注意大小写)(★☆☆☆☆)

Darwin Kernel Version 21.6.0

uname -a

35.嫌疑人容恨寒苹果电脑有多少正在运行的后台程序？(答案格式:20)(★★☆☆☆)

10

不确定，参考(3条消息) 【全网首发最全】首届盘古石杯全国电子数据取证大赛晋级赛write up 2023年奇安信取证比赛 高清截图_奇乃正的博客-CSDN博客

官方答案给的是1，不知道

36.嫌疑人容恨寒苹果电脑最后一次关机时间（GMT）？(答案格式:2000-01-01 01:00:09)(★★☆☆☆)

2023-04-14 07:55:50

last | grep shutdown，2023-04-14 15:55,精确到秒用盘古石计算机跑，但我的一跑就闪退哭死

GMT，还得-8

37.嫌疑人容恨寒苹果电脑执行过多少次查询主机名称命令？(答案格式:20)(★★★☆☆)

15

只有hostname，hostnamectl是修改主机名，单独使用无回显

38.从嫌疑人容恨寒苹果电脑中找出“陆文杰”提现金额是？(答案格式:20)(★★★★☆)

70.8

桌面上华南分区流水是一个rar压缩包，加密的，根据之前的规则解密，wlzhg@????@xn，破不出来，最后看奇乃正的wp发现其实不是xn而是hn，最终爆破出来密码是wlzhg@3698@hn，这一点真的很离谱，感觉是个bug

解压后里面有三个文件

华南区中有金额和最新金额，明显第3行和第5行的最新金额大于金额，所以应该是一个是旧体现一个是新提现，最后全部金额相加

39.从嫌疑人容恨寒苹果电脑中找出嫌疑人容恨寒上午上班时长是？(答案格式:8小时)(★★★★☆)

2.5小时

40.从嫌疑人容恨寒苹果电脑中找出“万便”的邮箱是？(答案格式:xxx@xxx.xx)(★★★★☆)

IxCnq3@yDp.net

41.通过分析得出嫌疑人容恨寒小孩的年龄是？(答案格式:10岁)(★★★☆☆)

13岁或者14岁

官方给的答案是6岁，不知道

八年级奥数测试

二进制文件分析

1.根据魏文茵的计算机分析，恶意程序加了什么类型的壳(答案：asdcz)(★★☆☆☆)

upx

查看最近打开的应用

把不确定的几个exe全问一遍，只有print.exe可疑

在虚拟机中找到他

就是他

查壳

2.根据魏文茵的计算机分析，恶意程序调用了几个dll(答案：1)(★★★☆☆)

5

3.根据魏文茵的计算机分析，恶意程序中send函数被多少个函数调用(答案：1)(★★★☆☆)

6

upx脱壳

再次查壳就没有了

ida分析，找到send函数，双击跳转

把光标放在send函数上，点击X键，或者点击view - open subviews - cross references，就会显示出交叉引用的函数挡xrefs to

6个

或者绘图，view - graphs - xrefs to，绘图更直观感觉

4.根据魏文茵的计算机分析，恶意程序远控端ip(答案：120.1.2.3)(★★☆☆☆)

192.168.8.110

main函数F5

5.根据魏文茵的计算机分析，恶意程序远控端端口(答案：123)(★★☆☆☆)

6096

大圣沙箱牛逼大圣云沙箱检测系统 (vulbox.com)

奇安信牛逼

6.根据魏文茵的计算机分析，恶意程序用到是tcp还是udp(★★★☆☆)

A.tcp

B.udp

A

把main函数的伪代码用chatgpt查询一下

显示是TCP连接

7.根据魏文茵的计算机分析，恶意程序能执行几条命令(答案：123)(★★★★☆)

5

8.根据魏文茵的计算机分析，恶意程序加密电脑文件对应是哪个命令(答案：1a)(★★★☆☆)

6s

main函数

看下一题加密函数是sub_45EF40，可以推测出哪个命令调用的函数指向sub_45EF40，哪个命令就是

6s对应的sub_45B4B7，双击跳转到sub_460410

再跳转到 sub_45978E();

再跳转到sub_45FE10

再跳转到sub_4586E0、sub_458555

sub_4586E0双击跳转到sub_45EF40

跳转到sub_45EF40，到达加密文件函数，命令就是6s

9.(多选题)根据魏文茵的计算机分析，恶意程序加密哪些后缀文件(★★★☆☆)

A.docx

B.xlsx

C.pdf

D.doc

ABCD

strings窗口搜索xlsx

双击跳转，指向的函数是sub_45EF40

在function窗口中搜索这个函数，之后F5

代码

10.根据魏文茵的计算机分析，编写该程序电脑的用户名是(答案：12345)(★★★★★)

22383

11.嫌疑人魏文茵计算机中“工资表.xlsx”中，发放工资总金额为：(答案格式:12345))(★★★★★)

44300

暗网取证

分析：计算机取证第19题

1.臧觅风电脑使用暗网浏览器版本是？(答案格式：10.0.0)(★☆☆☆☆)

12.0.4

根据快捷方式打开暗网浏览器

2.臧觅风电脑使用的暗网浏览器历史记录中最多浏览内容是？(答案格式：制作)(★★☆☆☆)

比特币市场

浏览器历史，直接用火眼-添加物理磁盘，分析TC挂载上的盘得了

3.臧觅风电脑使用的暗网网浏览器书签“社工库”添加的时间是？(答案格式：2000-01-01 01:00:09)(★★★★☆)

2022-05-27 21:49:33

4.臧觅风电脑使用的暗网浏览器第一次使用时间是？(答案格式：2000-01-01 01:00:09)(★★★☆☆)

2023-04-12 10:19:06

5.臧觅风电脑使用的暗网浏览器扩展应用中“ftp.js”文件的md5值是？(答案格式：字母小写)(★★★★★)

ea86403d1de3089b3d32fe5706d552f6

插件安装在"G:\Tor Browser\Tor Browser\Browser\TorBrowser\Data\Browser\profile.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi"

直接解压xpi，在"G:\Tor Browser\Tor Browser\Browser\TorBrowser\Data\Browser\profile.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}\content\ftp.js"

物联取证

1.请给出该软路由管理的IP地址？(答案格式:192.168.1.1)(★☆☆☆☆)

192.168.8.20

仿真

2.请给出该软路由管理员的密码？(答案格式:admin123!@#)(★★★☆☆)

P@ssw0rd

计算机取证16题P@ssw0rd

【笔记】openwrt - 分析web首页（/cgi-bin/luci）访问流程：nginx、uWSGI、lua_openwrt nginx_骆言的博客-CSDN博客

改了一下本地网络，使其在同一网段内

访问192.168.8.20/cgi-bin/luci，后面加上openwrt的web首页

用户名是root，密码是P@ssw0rd，成功登录

3.请给出阿里云WebDAV的token？(答案格式:bac123sasdew3212…)(★★☆☆☆)

afc455bdc29a45b18f3bae5048971e76

4.请给出该软路由所用机场订阅的token？(答案格式:bac123sasdew3212…)(★★☆☆☆)

502f6affe3c7deb071d65fb43effc06d

ShadowSocksR Plus+

5.请给出该软路由数据卷的UUID？(答案格式:8adn28hd-00c0c0c0…)(★★☆☆☆)

9a89a5ec-dae6-488a-84bf-80a67388ff37

或者使用blkid命令查看分区idOpenWrt软路由空间扩容_openwrt 扩容_ls0111的博客-CSDN博客

6.请给出该软路由的共享路径？(答案格式:/home/data)(★★☆☆☆)

/mnt/data

SMB(Server Messages Block)协议:实现局域网内文件或打印机等资源共享服务的协议。Samba服务程序是一款基于SMB协议并由服务端和客户端组成的开源文件共享软件，实现了Linux与Windows系统间的文件共享。

查看samba配置文件

服务-网络共享也能看到

服务器取证

分析

打开文件管理器，没启动，启动一下

默认的用户名和密码是admin、admin，进去了

在上题的共享文件路径/mnt/data中找到了IM文件夹

打开是虚拟机文件，全部下载下来

用盘古石仿真一下

进去了，但是缺失很多东西

直接启动vmx文件，发现密码，这玩意是个vc加密的vmx，找密码

在Windows Server 2019-000003.vmdk最近访问的项目中发现txt痕迹，发现密码123w.pgscup.com

输入123w.pgscup.com、P@ssw0rd，进去了，数据没丢

1.请给出IM服务器的当前Build版本？(答案格式:11111)(★☆☆☆☆)

17763

systeminfo

2.请给出IM聊天服务的启动密码？(答案格式:3w.Baidu.com)(★★★★★)

123w.pgscup.com

见分析

3.请给出该聊天服务器所用的PHP版本？(答案格式:7.2.5)(★★★★☆)

7.4.32

4.请给出该服务器所用的数据库类型及版本？(答案格式:mysql 5.7.1)(★★★★★)

mysql 10.4.12

直接搜mysql.exe

5.请给出该服务器MySQL数据库root账号的密码？(答案格式:3w.baidu.com)(★★★★★)

www.upsoft01.com

桌面上有个IM管理台，是个网站

不知道用户名和密码

打开所在文件夹

拖出来直接搜config.php，快多了

6.请给该IM服务器内当前企业所使用的数据库？(答案格式:admin_admin)(★★★★☆)

antdbms_usdtreclub

先启动一下mysql

输入上题得到的用户名密码进入mysql，有两个数据库

先看上题指向的数据库名antdbms，输入用户名root和密码www.upsoft01.com，进入查找网站的用户名和密码，密码解不出来，改密码，看密码长度是32位小写

123md5（32位小写）加密是202cb962ac59075b964b07152d234b70

update sys_admin set USER_PWD="202cb962ac59075b964b07152d234b70" where USERR_ID=1;

admin，123登进去了

找到企业所使用的数据库antdbms_usdtreclub

7.请给出该组织“usdtreclub”内共有多少个部门（不含分区）？(答案格式:1)(★★★☆☆)

5

potato的数据库里面

登录上网站后台后能直接看

8.客户端消息传输采用哪种加密形式？(答案格式:A)(★★☆☆☆)

A.AES128

B.AES256

C.DES

D.Base64

B

唯一的一个企业，点击控制台

要登录，用户名有了现在要找密码

在网站架构中找密码，找到了md5值，解不开c37bd328f1e928eb4c74703d444895bf，付费记录，只能修改密码了

想用navicat连接mysql，虚拟机改为nat，防火墙改掉，双向都能ping通了

连接企业用的数据库antdbms_usdtreclub，用navicat连接死活连不上，网探还得是你啊（记得开启虚拟机的远程连接功能，在系统属性里面）

老样子，改成123，md5是202cb962ac59075b964b07152d234b70

进去了，顺便把其他管理员的密码也改了，都改成123，不同权限的管理员能看到的内容应该不一样

客户端，消息传输，AES256

9.以下那个不是此系统提供的应用？(答案格式:A)(★★☆☆☆)

A.云盘

B.审批

C.会议

D.考勤

D

后台也能看出来

10.请给出“ 2023-04-11 21:48:14”登录成功此系统的用户设备MAC地址？(答案格式:08-AA-33-DF-1A)(★★★☆☆)

80-B6-55-EF-90-8E

登录超级管理员，查找登录日志

11.请给出用户“卢正文”的手机号码？(答案格式:13888888888)(★★★★☆)

13580912153

集群服务器取证

分析

三个镜像一个一个仿真

server01：192.168.91.171

server02：192.168.91.172

server03：192.168.91.173

三个的关系是一个master，两个node

火眼跑一下发现还有一个网卡是ens34，192.168.8.171，进去./etc/sysconfig/network-scripts查看，每一个虚拟机都是两张网卡，ens33和ens34

192.168.91.171和192.168.8.171，同一网段内，更改ifcfg-ens33、ifcfg-ens34网卡的网关为192.168.0.1，子网掩码为16，更改虚拟网络编辑器

添加第二张网卡

ip a查看发现新添加的网卡为ens36

更改ens34网卡名称为ens36，最终效果是

三个虚拟机均这样更改，更改后，三台虚拟机和主机均能相互ping通

使用xshell连接三台虚拟机，server01的ssh端口号是2282，server02和server03的还是22，仿真时直接把密码清除了，使用passwd命令再加个密码就行

查看历史命令发现还需挂载一下，通过nfs将master的www挂载到本地www，两个node都需要

192.168.8.171现在是192.168.128.0

mount通过NFS挂载_mount nfs_田小呱的博客-CSDN博客

kubectl get nodes -o wide查看节点信息

kubectl get pods --all-namespaces查看所有名称空间的pods

1.请给出集群master节点的内核版本？(答案格式:2.6.0-104.e11.x86_64)(★☆☆☆☆)

3.10.0-957.el7.x86_64

2.请给出该集群的pod网络？(答案格式:192.168.0.0/24)(★★★★☆)

10.244.0.0/16

kubectl get configmap kubeadm-config -n kube-system -o yaml

查看当前k8s集群中 pod 和 service 网段信息

3.请给出该集群所用的网络插件？(答案格式:abcd)(★★☆☆☆)

calico

网络插件有

k8s入坑之路（9）k8s网络插件详解 - 大辉哥 - 博客园 (cnblogs.com)

kubectl get pod --all-namespaces查看所有名称空间的pods

4.默认ns除外，本集群共有多少个ns？(答案格式:1)(★★★☆☆)

8

kubectl get namespaces查看所有namespace

5.请给出该集群的集群IP？(答案格式:192.168.0.0)(★★☆☆☆)

192.168.91.171

kubectl cluster-info 查看集群信息

6.请给出该ns为“licai”svc为“php-svc”的访问类型？(答案格式:Abc)(★★☆☆☆)

NodePort

kubectl get services --all-namespaces查看所有服务

7.请给出ns为“shuadan”下的的PHP版本？(答案格式:1.1)(★★★★★)

7.2

查看所有命名空间中的pods：kubectl get pods -A

查看shuadan下的pod：kubectl get pods --namespace=shuadan

kubectl describe pod php-deploy-7d9648677d-dbm66 --namespace=shuadan

输出指定资源的详细信息

过滤php更快，kubectl describe pod php-deploy-7d9648677d-dbm66 --namespace=shuadan | grep php

8.请给出本机集群所使用的私有仓库地址？(答案格式:192.168.0.0)(★★★★☆)

192.168.8.12

Kubernetes 集群所使用的私有仓库地址通常存储在集群中的 Secret 中，可以通过以下步骤查看：

在终端中登录到 Kubernetes 集群的控制节点。

运行以下命令查看已经存在的 Secret：

kubectl get secrets

找到名为 imagepullsecret（或其他自定义名称）的 Secret，运行以下命令查看其详细信息：

kubectl describe secret imagepullsecret

在输出结果中，找到 dockerconfigjson 字段，其中包含了私有仓库的地址、用户名和密码等信息。可以将其解码后查看：

kubectl get secret imagepullsecret -o jsonpath="{.data.\.dockerconfigjson}" | base64 --decode

若在 Windows 系统上执行以上命令，可以使用 PowerShell 代替 base64 命令：

kubectl get secret imagepullsecret -o jsonpath="{.data.\.dockerconfigjson}" | %{[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($_))}

解码后的输出结果为一个 JSON 字符串，其中包含了所使用的私有仓库地址。

9.接上题，请给出登录该私有仓库所用的token？(答案格式:bae213ionada21…)(★★★★★)

dXNlcjozVy5wZ3NjdXAuY29t

见上题，解密是user:3W.pgscup.com

10.请给出“licaisite”持久化存储的大小？(答案格式:10G)(★★☆☆☆)

6G

licaisite-pvc查看持久化存储

11.接上题，请给出对应的存储持久化声明名称？(答案格式:abc-abc)(★★★☆☆)

licaisite-pvc

kubectl describe pv licaisite查看持久化存储详细信息

12.请给出集群内部署网站所使用数据库的IP地址和端口号？(答案格式:192.168.0.0:8080)(★★★☆☆)

61.150.31.142:3306

数据库在./www下面

直接通过xshell连接xftp

直接把www文件夹拖出来，查看数据库配置文件

kefu是61.150.31.142:3306

licai也是61.150.31.142:3306

刷单也是61.150.31.142:3306，具体解密过程见14题

13.请给出网站“vip.kefu.com”所使用的端口号？(答案格式:8080)(★★☆☆☆)

8083

14.请给出网站“vip.shuadan.com”连接数据库所使用的账号和密码？(答案格式root/password)(★★★★★)

vip.shuadan.com/nFRrSNh6Msnbtpay

打开其database.php配置文件，发现不对劲，应该是加密了的

eval改为echo，打印前面的部分，发现后面的部分是base64加密了的

解密后再次eval改为echo打印

解密成功

​?><?php

// +----------------------------------------------------------------------

// | ThinkAdmin

// +----------------------------------------------------------------------

// | 版权所有 2014~2019 广州楚才信息科技有限公司 [ http://www.cuci.cc ]

// +----------------------------------------------------------------------

// | 官方网站: http://demo.thinkadmin.top

// +----------------------------------------------------------------------

// | 开源协议 ( https://mit-license.org )

// +----------------------------------------------------------------------

// | gitee 开源项目：ThinkAdmin: 基于 ThinkPHP6 的极简后台管理系统，内置注解权限、异步多任务、应用插件生态等，支持类 PaaS 更新公共模块和应用插件，插件可本地化定制开发。

// | github开源项目：GitHub - zoujingli/ThinkAdmin: 基于 ThinkPHP6 的极简后台管理系统，内置注解权限、异步多任务、应用插件生态等，支持类 PaaS 更新公共模块和应用插件，插件可本地化定制开发。

// +----------------------------------------------------------------------

return [

// 数据库调试模式

'debug' => true,

// 数据库类型

'type' => 'mysql',

// 服务器地址

'hostname' => '61.150.31.142',

// 'hostname' => '127.0.0.1',

// 数据库名

'database' => 'vip.shuadan.com',

// 用户名

'username' => 'vip.shuadan.com',

// 密码

'password' => 'nFRrSNh6Msnbtpay',

// 编码

'charset' => 'utf8mb4',

// 端口

'hostport' => '3306',

// 主从

'deploy' => 0,

// 分离

'rw_separate' => false,

];

​

数据库

数据库/data.tar

15.请给出调证数据库的版本号？(答案格式5.7.1)(★★★★★)

5.6.50

16.请给出刷单网站客服域名？(答案格式:http://www.baidu.com:8080/login.html)(★★★★★)

vip.kefu.com

shuadan网站重构

数据库是data文件夹，网站源码就是www文件夹

配置数据库

启动mysql，5.7.26

把启动的mysql下的data文件夹整个替换掉

跳过密码

配置网站

新建网站vip.shuadan.com，php是5.6.9

替换源代码

网站根目录是public，图标都在public里面

伪静态配置(3条消息) 服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_Grignard_的博客-CSDN博客

apache的伪静态

<IfModule mod_rewrite.c>
Options +FollowSymlinks -Multiviews
RewriteEngine on

RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php?/$1 [QSA,PT,L]
</IfModule>

nginx的伪静态

   if (!-e $request_filename) {
rewrite ^(.*)$ /index.php?s=/$1 last;
break;
}

更改database配置文件，更改服务器地址和用户名

访问网站

vip.shuadan.com:80

kefu网站重构

配置网站

php5.6.9，端口是8083

伪静态

网站根目录是public

更改配置文件

到这步应该就访问成功了，但是我的报错啊呜呜呜，不知道哪出错了

licai网站重构

配置网站404，不知道为什么卡在这里，试了好几次，不得其解，放弃

17.请给出理财客服系统用户“admin”共有多少个会话窗口？(答案格式:123)(★★★★★)

8

18.刷单客服是嵌套在刷单源码下那个文件内，请给出该文件在网站源码内的目录和文件名？(答案格式:www.baidu.com:8080/login.html)(★★★★★)

/application/index/view/user/user.html

在刷单个人中心里，admin，123456登录用户

在线客服可以跳转到kefu网站里

根据这个网站搜索

19.请统计出刷单网站后台累计提现成功的金额？(答案格式:1000)(★☆☆☆☆)

7611

后台是/admin_2019

weiliang的密码解出来是123456

20.请给出受害人上级的电话号码？(答案格式:13888888888)(★★★☆☆)

18727164573

21.请给出刷单网站受害人加款的时间（北京时间）？(答案格式:2023-05-06 14:00:00)(★★★☆☆)

2023-04-12 14:57:32

22.该理财网站曾经被挂马，请给出上传木马者的IP？(答案格式:192.168.10.10)(★★★☆☆)

103.177.44.10

扫描整个site目录，在shuadan里面

查看log

23.接上题，请找到此木马，计算该木马的md5？(答案格式:123dadgadad332…)(★★★☆☆)

339c925222a41011ac1a7e55ec408202

24.请统计该投资理财平台累计交易额为多少亿？(答案格式:1.8)(★★☆☆☆)

1.42

25.请给出该虚拟币投资平台内用户“李国斌”的银行卡号？(答案格式:622222222222222)(★★★☆☆)

6212260808001710173

26.分析该虚拟币投资平台财务明细表，用户“13912345678”共支出多少钱（cnc）, 结果保留两位小数？(答案格式:10000.00)(★★★★★)

24817.99