长安杯检材二部分题目复盘

        在说之前，我们先通过在检材一里面的第七题里的密码来解压检材二

 

然后，看了很多大佬，包括老师的讲解视频，我发现，抓包的话，主要好像就是用了两种抓包软件，一种是fiddler（这个好像是专门抓手机的抓包软件），还有一个是用雷电自带的抓包，然后今天尝试着就是随便填一个虚假的手机号，和邀请码那些，也是用雷电成功抓到了部分该apk返回后台的数据。

接下来就是对检材二部分的题目解析

首先是检材二的哈希值，这个通过取证软件直接计算就可以得到答案

然后是查看案发时间段的ip，这里选择打开虚拟镜像来查看

使用Last命令来查看登录日志，因为根据案情信息可以知道报案时间在在25号，那么也就是说，案发时间段的IP应该在25号前几天，通过眼搓，找到了大概时间段内的IP

        第十四题说要对对检材二进行分析，并回答该服务器在集群中承担的主要作用，答案是负载均衡/流量转发。这个涉及到了我的知识盲区，通过查询和学习分析可知道检材二并没有实际的数据处理，只是将流量转发到后台服务器。所以作用是负载均衡。这个是大佬对负载均衡解释的博客

然后十五题是找监听窗口，在history命令为我们展示的代码中，发现这个命令多次出现，而且也是在这个文件夹下一直在操作node，运行js文件

我们进入到这个目录下，发现有两个js文件，分别查看一下内容

在第一个js文件里面，找到了服务器配置信息，也找到了端口信息，是80，在app.js文件里面没有

然后是找服务器的启动命令，这个我觉得还是一开始的那些奇奇怪怪的命令，比如node（这里是关于node命令的大佬的博客）说明这个node命令运行的这个js文件很有可能就是启动命令，而且在上一步查看两个js文件的时候，就发现，node运行的这个app.js文件中带有服务启动的信息，尝试一下

在测试以后，发现确实是这个命令开启了服务

然后感觉，这个虚拟机系统的命令行不太好看，所以转去取证软件来看那些历史记录，发现了代理的相关信息

进去看看

根据后面的信息可知，split这个分割符就和题目提及的位数相关，iparr.length=4就是正常的ip，结合后面的数组2，可推断出答案为3

后续内容也可以在该文件下找到，比如题目所求IP和目标服务器台数

后面的两个我也没有找到

        纯小白，如有错误，还有指导和纠正。