1.
D
直接取证大师查看系统信息
2.
3.10.0
直接仿真
3.
2099200
取证大师
4.
32000
直接取证大师搜索对应网站并用网探连接目标服务器,打开对应文件
5.
3
域名绑定似乎是放在一个指定文件夹conf.d中
6.
192.168.99.3
方法一:查看docker容器中的网络相关信息
首先查看历史命令里,发现有在配置IP信息,有理由怀疑IP经过修改,而且原始IP不等于现在的IP,因此仅仅查看现行IP是不行的。另外,本检材中还有docker容器,推测网站是通过容器搭建的,因此可以查看容器日志,查阅发现日志存放地点,在日志最后发现原始IP
方法二:查看检材二
由于第一次做这类题目,可能一下子想不到跳过作答。
7.
192.168.99.222
网探查看登录日志
两个登录IP,不知道选哪个,但可以通过检材2的密码检验答案
或者
查看容器的日志也可以得到答案
或者
使用last命令
8.
192.168.1.176
首先查看服务器里的网站配置信息,没有相关信息,因此将注意转移到之前的容器中,进入容器后查看history,发现有conf.d文件,进入后发现只有一个hl.conf文件,查看后找到其中的相关信息
其中,proxy_pass为反向代理的标志,得到答案
或者
根据参考其他师傅还可以通过宝塔面板进行可视化操作,似乎更简单一些,我还没试过
9.
18
用docker日志查询,并设置过滤和自动计数 docker logs 08 | grep -c 192.168.99.222
10.
2D926D5E1CFE27553AE59B6152E038560D64E7837ECCAD30F2FBAD5052FABF37
单纯计算(话说算了将近20分钟,奔溃了,下次用火眼试试看会不会快一点)
11.
18363.1032
仿真,设置,系统,关于
12.
2020-09-22 13:15:34
这个才是正确答案,题目里要求了正常关机
以下是错误答案:
( 2020.09.22 11.02.32
火眼查看
)
13.
2020-09-18 17:57:13
由于参考的师傅答案各不相同,就将自己认为对的打上去了
14.
8
查看应用运行记录
15.
8091
答案为第六题所连接的端口
16.
docker-proxy
查看服务器镜像里的8091端口信息
17.
直接搜索记录8091端口
18.
sstt119999
检材中没出现手机备份,因此想到要自己找出手机的备份文件,搜索phone,找到了手机备份
放在火眼下分析,就会有文件被分析出来(好像会跳出来一个密码输入,我没管,他自己就有结果了)
19.
telegram
20.
dogecoin
聊天记录里简单就能查到
21.
DPBEgbwap7VW5HbNdGi9TyKJbqTLWYYkvf
同上题
22.
2020-09-20 12:23:37
查交易转账时间
23.
4000
这题好像要翻墙查记录,像我们这么乖的孩子怎么会翻墙捏
24.
zzzxxx
虚拟磁盘解密,用python脚本跑一下 我是链接
25.
cc7ea3ab90ab6b28417e08c715c243ce58ea76d71fd141b93f055a58e9ba561a
直接火眼里导出邮件附件,计算哈希值
26.
2020-09-20 12:53:00
27.
honglian7001
28.
xshell
29.
qwer1234!@#$
30.
FF593FCCB3770B8845A3334631F8E80807638EE722C5AA7B34E877589857C3BA
31.
c
32.
card
仿真发现是Windows service 直接用IIS可视化查看
33.
C:\inetpub\wwwroot\v7w
直接浏览,第一个界面的路径即是网站根目录
或者
查看高级设置
34. 
80
同样高级设置里查看
35.
dllogin.aspk
首先查看web.config文件,在里面找到带login的文件,跟着路径查看,发现源代码里有代理登录
36.
OvO
直接查看上一题的网页登录代码,进行审计,找到答案
37.
App_Web_dllogin.aspx.7d7c2f33.dll
还是在原来的(35)的登录页面寻找,找到关键参数inherits,其中第一个参数为关键类,第二个为引用的动态数据库
38.
AESEncrypt
在bin目录中找到对应的dll文件,用dnspy打开查看,定位到之前的引用关键类,发现其中有关于密码的敏感字样
然后找到关于text2的处理方法,发现目标加密算法
39.
192.168.1.174
本题要求分析应用登录加解密的过程,我反复听了多次,勉强能稍微听懂一点(哭)
首先,上一题的代码分析
AES加密传入了3个参数,对明文进行了UTF编码,随后又调用了padright函数,通过代码分析可知,这是补位函数,数组填充满(!!!!!不进行填充就没法进行解密),然后代码又调用了Rijndael这个类,对他进行查看,额没啥线索,返回到来时的代码,发现下面又有一个
函数,查看
发现传入3个参数,还有DBcon函数,老规矩查看
发现了AES解码,查看
得知,他先对密文进行base64解码,然后用AES解码,别忘了加密的时候他在key和vector处补位了,因此要补回去,用解密网站解一下DBcon中的密文内容
是不是感觉较为繁琐,我也觉得,其实这里还有另一种方法,直接用网站跑脚本(来自我亲爱的室友师傅)
大概是这样的,就是把解密的主函数打上去,然后把没定义的函数补上就会有结果了
40.
c4f2737e88
见上题
41.
1433
见上上题
42.
E5E548CCAECD02608A0E053A5C7DCDBFBDD4BE5B0E743EB9DC8E318C369BEBC8
43.
abe6d2ee630379c3
这里要重构网站了,连接数据库了
这里重点讲一下我的理解:首先网站由win service搭建,数据库搭建在检材4centenOS7的docker容器中,因此要让网站搭建起来,要让服务器和数据库之间连接起来,这就需要我们自己的电脑作为路由器,要配置相同的IP,而根据上面的题目,我们知道了数据库的地址,因此将OS的IP换成静态IP:192.168.1.174是很有必要的,然而这仅仅只是个开始,在网络配置这里卡了好久,最终在彬哥的帮助下,成功将两台虚拟机连到了统一的子网下面,实现了数据传递,我刚开始一直想着要连外网,后来才知道不需要,只要自己的电脑能成功访问就行了,虚拟机配置net模式时要将DHCP关闭,这样才能保持IP的固定。检材3和4要在同一个子网下面,检材4的静态IP要和数据库一致,在我这里刚开始4的IP是176,数据库就是连不上,后来用了174才陈功,太难了!还有就是检材4 OS的太原始了,连net-tools都没有,因此要连接网络下载基础工具,(但其实我感觉没有工具可能也可以做,毕竟只要改网卡和docker就行)。
连接上数据库后找寻用户信息,根据检材2
查看网站登录源代码
发现他从数据库中调用了PD_UserLogin的函数,查看
代码分析,发现他调用用户数据分两步,1,从DW_Web中检查登录IP及域名是否存在权限,(只有当DU_ISDel为0时才能通过,因此能登录的只有user表中的1001用户,这点在检材2中也能得知)成功后会进行第二步。2.校验用户ID。
破解密码,两种方法:
1.替换数据库中的密码加密值,即将之前的加密过程逆运算,将数据库中的密文算出明文(不细讲)
2.反弹密码,发现网站登录有回显,将网站dll登录文件中的回显修改为输入运算后的密文
这里的text2 为加密后的密文,把回显换为text2,算出自定密码“123456”的密文,替换数据库中的值(注:修改完后要在下面打钩保存,下面的也是)
还要把登录的IP地址修改
dll文件修改后要重新替换检材3中的文件,并在检材3中启动网站服务:win+r--》services.msc--》找到ASP.NET State Service并启动,之后再用liwente1314520的账号登录,密码为之前更换的123456,就能登录成功
44.
26
三页,9+9+8=26
45.
32
查看数据库TU_User
46.
138408
这题不知道怎么简便,看大佬都用爬虫的,感觉是方便了
47.
2829
打开数据库的对应表,筛选
有三页,容易遗漏
48.
1066449
在用户列表里找到对应用户,点击后台,跳转失败,要在域名前加192.168.1.176,然后找兑换记录
49.
d0fdd7a9a010d37e
50.
2016/9/6 0:43:07 
总结:
第一次做除个人赛之外的题目,感觉难度一下就上去了,做的时候刚好看了弘连的网课,内容较为重合,因此开头做的还是比较顺利的,但到了检材4 特别在网站重构上还是有许多问题,请教了彬哥才解决,特别是在网络配置方面太薄弱了,还要多学习。第一次写博客,有不足请指出,谢谢!
扫一扫
5485
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
