检材密码:}2N|n_yxdt!G/Ru}|_zdn$@?6@CD8E
感谢各位大佬的指导(●ˇ∀ˇ●)
手机和计算机部分已发!
獬豸杯手机取证:2025“獬豸杯”全国电子数据取证竞赛-手机取证wp-优快云博客
獬豸杯计算机取证:2025“獬豸杯”全国电子数据取证竞赛-计算机取证wp-优快云博客
每道题是图在上,文字在下
目录
node1,网址:https://192.168.2.200:31600/d3ffacb9
node2,网址:https://192.168.2.201:7788/6dbe0b92
题目纯享版:
| 服务器 | |
| 1 | 该集群主节点操作系统版本是?[标准格式:100.100.100] |
| 2 | 该集群创建时间是?[标准格式:0000-00-00T00:00:00Z] |
| 3 | 该集群共有多少个命名空间?[标准格式:100] |
| 4 | 该集群所有命名空间内总共有多少个pod?[标准格式:100] |
| 5 | 请给出该集群所使用的cni网络插件及其版本?[标准格式:abc-V1.1.1] |
| 6 | 其中打金平台的后台登录地址跳转文件是?[标准格式:abc.php] |
| 7 | 其中打金平台密码加密算法是?[标准格式:abc] |
| 8 | 其中打金平台中"13067137585"用户的累计产量有多少?[标准格式:100.00] |
| 9 | 其中打金平台会员组最高溢价比例是多少?[标准格式:10.00] |
| 10 | 其中打金平台会员推广人数最多的会员其姓名是?[标准格式:名字] |
| 11 | 其中打金平台最早一次备份数据库的时间(Asia/Shanghai)是?[标准格式:2024-01-01-01:01:01] |
| 12 | 其中金瑞币(JINRUI COIN)平台图片上传平台是哪种类型?[标准格式:腾讯云ABC] |
| 13 | 其中金瑞币平台手机直充接口是什么?[标准格式:http://xxx.xxx.xxx/xxx] |
| 14 | 其中金瑞币平台后台登录地址是?[标准格式:http://xxx/xxx/xxx.xxx] |
| 15 | 其中金瑞币平台中密码加密盐值是?[标准格式:AbC1d] |
| 16 | 其中金瑞币平台中交易手续费是百分之多少?[标准格式:100] |
| 17 | 其中金瑞币平台中目前有几种充值方式?[标准格式:100] |
| 18 | 二号集群节点有源代码的网站目录有几个?(正在运行的除外)[标准格式:1] |
| 19 | 二号集群节点memcached端口是?[标准格式:100] |
| 20 | 盲盒平台中余额最多的用户是?[标准格式:AbC1d] |
| 21 | 盲盒平台可选二级域名有多少个?[标准格式:100] |
| 22 | 盲盒平台的支付密钥是?[标准格式:AbC1d] |
| 23 | 盲盒平台中拥有分站的用户名是?[标准格式:123abc] |
| 24 | 借贷平台(www.jiedai0rmr.com)中验证码发送接口域名是?[标准格式:http://xxx.xxx.xxx/] |
| 25 | 借贷平台后台登录密码的加密算法中共使用了多少次hash函数加密?[标准格式:10] |
| 26 | 接上题,借贷平台中后台登录的密码额外加密字符串?[标准格式:123ABc+] |
| 27 | 借贷平台中一共有多少借款订单?[标准格式:100] |
| 28 | 借贷平台中"包玉莲"的收款卡号是?[标准格式:1000] |
| 29 | 借贷平台中贷款最大限额是多少?[标准格式:100] |
| 30 | 请综合该集群一共有多少个网站数据库?[标准格式:100] |
前言:
本篇服务器取证较为通俗,非常适合于初学服务器取证的取证人静下心来复盘。
在做题前,我们先了解一下什么是服务器集群?
简单一句话:服务器集群是指将多个服务器通过网络连接在一起,协同工作以提供更高的性能、可用性和可扩展性的计算系统。
所以搭建服务器集群的关键——就是把这三个服务器通过一个网络连接在一起。
服务器取证-1
必要截图:
这个很简单,有很多方法。
火眼直接看快一点(因为是集群,所以三个服务器的操作系统版本肯定是一样的,看一个就行)
答案:7.9.2009
服务器30道题,总有一部分题是得先仿真才能做的,所以为了节省时间(不少取证人反映服务器题目不算难但是总体时间不够),最晚做完第一题后,就该着手仿真搭建了。像下一题问的创建时间,你如果在火眼里找的话肯定不如仿真输入命令查看信息来的直接来的快,而且在火眼你也未必找得到,有可能去linux日志解析找个最早时间就填上去了其实是不对的。
服务器取证-2
先搭建集群
必要截图:
先用火眼全部仿真,默认设置即可(也有别的比赛赛题是需要在火眼仿真取证软件中高级设置选择不重置用户密码的,如果重置,服务器会删除重要文件。)
依次点击仿真后,从火眼跳转到VMware,接下来要用虚拟网络编辑器来实现前言所说的把这三个服务器通过一个网络连接在一起
左上角点击“编辑”,选择虚拟网络编辑器,右下角点击更改设置(提示同意设备对应用进行更改)
现在可以进行网络编辑了。
我们选择VMnet1,即“仅主机模式”,其他两个是桥接模式和NAT模式
对于想详细了解三个模式的含义的取证人可以参考👇
虚拟机 net、桥接、主机三种网络模式寻根问底_虚拟机桥接模式和net模式-优快云博客
必须知识扩充:
现在我们先了解一下图中的子网掩码,DHCP,子网地址、子网ip。
1.子网掩码
子网掩码是一个32位的二进制数,用于将IP地址划分成网络地址和主机地址两部分,它的作用是确定一个IP地址的网络部分和主机部分,从而帮助计算机在网络中进行数据传输和路由选择。
举个例子就好懂了:
对于IP地址192.168.8.100 和子网掩码255.255.255.0(这是C类网络默认的子网掩码,还有A类B类),进行逻辑与运算后,得到网络地址为192.168.8.0(ip的前三段),主机地址为0.0.0.100(IP的后一段)大致说的话就是ip的前三段即网络地址是一个“大房子”,而ip的后一段有一个范围是0到255即“大房子下的很多人”。其中0和255分别是网络地址192.168.8.0代表整个网络以及192.168.8.255,被用作广播地址,用于向该网络中的所有主机发送广播消息。所以可分配的范围就是1-254。
2.DHCP:
看完子网掩码的解释我们聊到了ip的分配,DHCP就是来分配的。
看图中所说的“使用本地DHCP服务将IP地址分配给虚拟机”,DHCP服务是Dynamic Host Configuration Protocol即动态主机配置协议服务,是可以自动分配网络配置参数的网络服务,那这里DHCP就可以自动分配ip地址,分配的范围就是1-254。
3.子网地址及子网ip(两个是一回事)
图中的子网地址:192.168.8.0及子网ip:192.168.8.0,两个是一样的。
子网地址就是子网ip地址。
有了以上知识后我们来做题。
先在火眼系统信息里明晰主机为:k8s-master
k8s相关知识:
K8s是Kubernetes的简称,是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。
k8s核心组件(大概看看了解一下,这种就是有个印象就行,我也是第一次碰到)
1.Master节点:K8s的控制平面,负责管理和协调整个集群。包含API Server、Scheduler、Controller Manager等组件,API Server提供了K8s的API接口,用于接收和处理用户的请求;Scheduler负责将Pod调度到合适的节点上;Controller Manager负责管理和维护集群中各种资源的状态。
2.Node 节点:集群中的工作节点,用于运行容器化应用。每个Node节点上都运行着Kubelet和Container Runtime等组件,Kubelet负责与Master节点通信,接收并执行Master节点下达的任务,管理本地的容器;Container Runtime用于运行容器,如Docker、runc等。
3.Pod:(后续题目有问到):K8s中最小的可部署和可管理的计算单元,它可以包含一个或多个紧密相关的容器。这些容器共享网络和存储资源,通常作为一个整体被调度和管理。
4.Service:用于定义一组Pod的访问策略,为Pod提供一个固定的IP地址和DNS名称,使得其他Pod或外部客户端能够通过这个固定的地址访问到后端的Pod集合,实现服务的发现和负载均衡。
5.Deployment:用于管理Pod的部署和升级,用户可以通过Deployment来定义Pod的副本数量、镜像版本等信息,K8s会根据Deployment的定义自动创建和管理Pod,并在需要时进行升级和回滚操作。
继续做题
火眼:观察服务器001的host主机ip
观察002的host主机ip
观察003的host主机ip
由此确定网络地址为192.168.2.0即整个集群的IP
在虚拟网络编辑器更改子网ip为192.168.2.0,右上角子网地址随子网ip更改而自动更改。
子网掩码是不用改的哈,这是适用小型网络(C 类网络)的默认的子网掩码。
改完点击确定即可。
左上角选择虚拟机,点击设置
保证网络适配器选择刚才虚拟网络编辑器配的仅主机模式。
重启VMware
开机虚拟机,账户用root。火眼创建虚拟机时默认重置密码为123456 
如图,点击上面的图标可以放大界面看得清
在输入密码时,密码是不显示的,但实际上密码已经被正确输入,是出于安全考虑,不是你没输进去哈哈。
登陆进去后就可以正式开始了!
接下来使用的命令语句都是对于k8s常用的Master节点相关命令。命令头是kubectl
对于k8s基本命令大家可以参考👇
k8s之常用操作命令-优快云博客
题目问:该集群的创建时间?[标准格式:0000-00-00T00:00:00Z]
对于自己做wp的一点想法:
做第二道题我也看了看包括微信公众号的wp以及csdn上的wp,我都遇到了疑问。
不可否认的是,服务器取证的自由度非常高,命令五花八门,只要能找到答案就是好命令。
但是对于萌新服务器取证人来说,由于自身知识经验储量少,只能根据题目现对照着网上找到的相关知识,如k8s之常用操作命令-优快云博客这类对k8s基础命令的介绍字眼来主观判断用什么命令可能取出来答案而发愁。当然可以对着某个wp用的命令照输一遍,每道题的答案也都能出来。但我自认为这并不算复盘,顶多算提升对命令格式的熟练度。题目需要的不仅仅是熟练度还包括对命令的理解以及做题的思路。因此,不光是这篇博客,我在做所有的wp时,都力求尽量可以让大家和过段时间再看wp的自己→能看懂做题的思路和逻辑(不可避免的是取证不像高中的数学,一环扣一环,逻辑那么线性那么强,但是力求有多少逻辑都要展现出来),不让我的wp看起来像是“根据答案来做题”。
首先我在基础命令中找到最接近能直接查看集群创建时间的命令:
kubectl cluster-info
输入命令后并没有得到答案,但是最下面一行提示我们用
kubectl cluster-info dump
可能获得更详细的信息。
运行后有大量信息、log滚动,根本停不下来hh
最后也没有得到答案(答案有可能滚过去了)
但是刚才的这条命令:kubectl cluster-info dump 确实是某个wp给到的查找答案的命令
我确实不知道他怎么截的页面,是有操作可以滑动信息查看上面滚过去的信息吗?
总之这条路在我这走不通了。
我通过ai了解到:
- 默认命名空间自动创建:在 Kubernetes 集群初始化创建的过程中,
default命名空间作为系统默认的一部分自动创建。当你搭建集群时,在集群初始化的关键步骤中,default命名空间就会被创建出来。这意味着它的创建和集群的启动是紧密相连的,时间上非常接近。
也就是说可以通过查看default命名空间的创建时间来查看集群的创建时间。
输入ai给的命令: kubectl describe namespace default
没有找到时间
最终输入命令:kubectl get namespace default -o yaml 得到答案
此命令会以 YAML 格式(一种人类可读的数据序列化格式)输出 default 命名空间的详细信息,可以在输出中找到 creationTimestamp 字段来获取创建时间。
答案:2024-06-24T11:28:12Z
XiAnG学安全 wp?
对于XiAnG学安全wp对这道题的讲解我不太懂,求教路过的大佬(●ˇ∀ˇ●)
swap分区对于kubelet的启动有直接影响吗?
按照wp所说先查看node状态,两个node是not ready
用命令:systemctl start kubelet 启动失败
命令:free -m 可以看到swap的情况,都是0
命令:swapoff -a 关闭swap分区
但是最后还是启动失败。。。
直接用命令kubectl describe node 也看不到时间
下一题吧。
服务器取证-3
必要截图:
找到直接能取出答案的命令
kubectl get namespaces
kubectl get ns (ns是namespace的简写)
都可以取出是七个命名空间
答案:7
服务器取证-4
这道题跟答案做的不一样。
必要截图:
上图为做出答案16的wp
所用命令:kubectl get pods --all-namespaces
命令很直接,就是获取所有命名空间内总共多少个pod
同样的命令在我复现时显示出18个pod,还有一个在最上面,被挡住了,所以其实是19个
kubectl get pods --all-namespaces | awk 'NR>1' | wc -l
加一个蓝色的命令部分来统计pod数量,答案是19
ai对命令的解释
答案:16( ?)
服务器取证-5
必要截图:
这道题比较容易找错
输命令和火眼分析都容易错。
没发现有简单直接的命令来查看插件及其版本。
大部分 CNI 插件的配置文件位于/etc/cni/net.d/目录下,通过查看这些文件能确定插件类型和版本信息。(这道题属于少数情况了)
ls /etc/cni/net.d/
ls命令查看该目录下的文件找到flannel插件的conf list配置文件
cat /etc/cni/net.d/10-flannel.conflist
得到答案:flannel-V0.3.1
但是这个答案不对
最开始找的路径不对
正确的应该是:/opt/cni/bin/
CNI 插件的二进制文件通常存放在/opt/cni/bin/ 目录下
命令:ls -l /opt/cni/bin/
ls -l 是linux基础命令
命令:/opt/cni/bin/flannel -version 查看flannel版本
得到答案:flannel-V1.0.0
火眼也会找到这个易错答案。
正确答案可以在镜像列表找到:v1.0.0
综上答案:flannel-V1.0.0
服务器取证-6
必要截图:
我们先要能进入火眼的这四个网站
直接访问是打不开页面的
上图XiAnG学安全wp这里讲到需要用到一个软件叫switchhosts(但是我不知道这个具体的作用是什么,因为没用这个也能登进去,所以这里想看的看一眼,不想看的可以目录跳转“不用switchhosts”)
安装网址:https://github.com/oldj/SwitchHosts/releases
结合自己电脑情况选择
一般windows选x64
更多安装细节👇
安装后开始为四个网站添加host
我们在002中找到ip:192.168.2.200
命令:IP addr
我们在003中找到ip:192.168.2.201
命令:IP addr
ip和网址一一对应
写入成功。
注意如有遇到switchhosts提示没有权限写入host文件的问题,参考👇
SwitchHosts报错:没有写入 Hosts 文件的权限_switchhosts没有权限-优快云博客
不用switchhosts
我复现的过程中 没有用到switchhosts。
首先提示一下:
这三个服务器虽然叫“服务器集群”,但是意思不是你就在一个虚拟机操作就行了。
所以你就在001操作肯定是不行的,001都没有宝塔,你输bt都是不支持的。
基础知识引入:
宝塔面板基本命令(主要命令头bt)
bt default 查看面板信息
bt 查看面板命令行
bt 命令 (例如:bt 14)
更多基本命令👇
分别进入虚拟机002,003
输入命令bt 14 对应的是重启宝塔面板服务
(输 bt default 也可以)(也可以先输bt查看命令面板 再输14执行14命令)
node1,网址:https://192.168.2.200:31600/d3ffacb9
账号:qpeymiwp
node2,网址:https://192.168.2.201:7788/6dbe0b92
账号:pqkpueqq
总之能看到以上两个界面即可,我们能看到宝塔网站的具体网址及账号
密码均不知道,我们需要用命令修改密码
分别输入命令bt 5 修改面板密码
得到以下网站用户密码,分别打开即可
注意网址复制全!
特别感谢:
我因为受到switchhosts配置步骤的影响,输网址就一直不输协议头(有点笨了),因为这个一直登不上去,wp严重被卡进度。最后靠@雨藍酱desu向日葵远程操作解决,十分感谢。也感谢其他尝试为我解答的佬,抱歉因为问题出现在太基础刁钻的地方,好多大佬根本没想到哈哈。
网址:https://192.168.2.200:31600/d3ffacb9
账号:qpeymiwp
密码:002
网址:https://192.168.2.201:7788/6dbe0b92
账号:pqkpueqq
密码:003
进入网站可以看到nginx没有启动
手动点击启动即可
下面我们先整体看一下四个网站都是什么网站以对应一下后续题目
对应本题就是确定哪个是题目所说的“打金平台”
图一www.mtbtsdafda.com
图二www.gsjksu2kig.com
图三www.jiedai0rmr.com
图四www.jiaoyoumf0up.com
图三是借贷,图四是交友,图二在后面的题有提到是金瑞币(JINRUI COIN)
所以图一www.mtbtsdafda.com是打金平台。
现在需要找到打金平台的后台登陆地址跳转文件。
在左侧点击文件,在文件里找到网站的文件夹。
这块的逻辑一是:根据题目格式的提示.php锁定这两个php文件
二是:这个本就是php项目,那地址所在的文件理所当然在php文件。
分别双击打开两个php文件
index.php
WIdbdgd1Us.php
用WIdbdgd1Us.php里给的地址:/index.php/systemlogined/login/index
得到后台地址
http://www.mtbtsdafda.com/index.php/systemlogined/login/index
如上图打开了打金平台后台管理
谁是答案不必多说。
答案:WIdbdgd1Us.php
服务器取证-7
必要截图:
题目所问的密码加密算法涉及到网站的配置信息,所以还是要在文件里找。
密码指的是登录时用到的登陆密码,所以右上角输入“login”,勾选包含子目录,搜索有关登陆的php文件。
搜索结果如图,翻一下三个php文件
在/www/wwwroot/www.mtbtsdafda.com/APP/Modules/Systemlogined/Action/路径下的LoginAction.class.php文件(第三个文件)里找到答案:sha1
代码 'password'=>I('password','','sha1') 表示获取 password 字段的值,并使用 sha1 算法对其进行加密处理,然后用于后续的用户查询验证。
(题目给的格式abc还以为答案是纯英文)
答案:sha1
服务器取证-8
这道题有几个思路,一是在宝塔文件里搜索13067137585,但是不好根据搜索结果得出累计产量,在搜索结果中还能看到用户对应的password但是sha1解密后的密码都登不上去。所以还是连上数据库,在数据库里面找更直接。
必要截图:
打开navicat,一般是多以ssh隧道连接。点击ssh,勾选使用ssh隧道。
这里是先连服务器,所以主机填服务器的ip:192.168.2.200(前题有通过输入命令ip addr看到)用户名和密码填服务器的登录用户和登陆密码。
用户名:root,密码:123456。
端口号这里尤为注意,要的是服务器的sshd端口,不是宝塔的31600!!(感谢@雨藍酱desu)
分别输入命令:
netstat -tulp netstat -tuln
两个输出结果对应着看,看到22端口对应了sshd,所以端口应填22
连完服务器再连数据库。
主机:local host,端口3306(主机默认端口)数据库用户名密码填宝塔面板()显示的用户名和密码
数据库用户名:www_mtbtsdafda_c
数据库密码:Ea1KMSRBnY2eB4pK
权限改成“所有人”
进入数据库后,有两个思路。
第一个思路:根据题意,我们要找到一个既有手机号13067137585又有“累计产量”字段的表
找到ds_order表,有手机号
找到ds_order表,有already profit——“累计产量”
sql查询语句:SELECT SUM(already_profit) FROM `ds_order` where user=13067137585
意思是:在这个表里得到用户为13067137585的already_profit字段下所有值的和
可见答案为43853.21258852,根据题目格式保留两位小数得到43853.21
这个查询语句非常基础,在此不多说,详细可看👇
SELECT 语句用法大全:数据库查询的核心力量_select 查询-优快云博客
第二个思路,在数据库中找到平台用户信息表,找到用户13067137585的登录密码以登录平台查看个人信息
单击“表”,点击上方的“对象”,可以通过注释一栏看到一些表的大致情况
锁定第三行ds_member——会员,双击打开
找到13067137585加密后的password:03ddb77b41e0d41a8a186d4fd87c546d6fe41eec
在网上找了一些解密的网站,发现能解出来密码的网站都要钱(因为所谓逆向解密的方法是在一个很大的人工哈希数据库里去枚举匹配,密文本身是不可能逆向解密的)
那么现在的思路是:我们可以更改数据库的数据,将简单密码如123456的sha1加密值替换原值
网站👉SHA1 在线加密工具 | 菜鸟工具 得到7c4a8d09ca3762af61e59520943dc26494f8941b
替换成功
登陆界面输入用户手机号13067137585,密码123456,登录成功后点击右下角会员中心即可看到“累计产量”为:43853.21
服务器取证-9
必要截图:
首先第一个思路还是继续翻数据库的表,但是翻了半天没翻到溢价比例
在ds_user翻到一个疑似打金平台后台的登录信息admin:
解密得到密码Aa123456
在后台网址http://www.mtbtsdafda.com/index.php/systemlogined/login/index
输入账号admin、 Aa123456 登录成功
(把lileilei的密码在数据库修改一下也能登,但是没什么信息)
在会员等级一栏可以看到最高的溢价比例:1.70
答案:1.70
服务器取证-10
思路是继续在后台里找
必要截图:
在会员列表里看到直推人数字段,点击“直推人数”进行排序,看到最多的16人对应姓名:李奕欣
答案:李奕欣
服务器取证-11
必要截图:
继续在后台找,发现时间:2024-06-26-19:38:16
这个是错的。
需要回到数据库去找。
在表对象概览里的注释一栏找到系统操作日志表:ds_log,双击打开
数据195条,不多可以不用sql查询语句,直接看就行。上图看到第8行有备份数据库
ctrl f 搜索数据库备份,一共有两条记录
第一条,logtime:1557152877
第二条,logtime:1719401896
1719401896这一条对应后台看到的信息
1557152877这一条时间更早,是正确答案
时间戳转换: 2019-05-06 22:27:57
打金平台题目结束。
答案:2019-05-06-22:27:57
服务器取证-12
必要截图:
打开金瑞币网站文件栏
根据题目所给格式腾讯云的提示,在文件内容搜索“云”,找到阿里云OSS。
(也可以搜索“图片上传”,这道题巧了,答案给的非常明确,如果题目比较模糊,搜索“云”更容易出结果)
答案:阿里云OSS
服务器取证-13
必要截图:
文件内容搜索搜索“接口”,发现“手机直充接口”。
继续搜索“手机直充接口”,精确搜索结果
第一条搜索结果http://op.juhe.cn/ofpay/sinopec/onlineorder
该条为“聚合油卡充值驱动”
第二条搜索结果http://op.juhe.cn/ofpay/mobile/onlineorder
该条为“聚合手机充值驱动”
故该条为正确答案
答案:http://op.juhe.cn/ofpay/mobile/onlineorder
服务器取证-14
必要截图:
文件内容搜索“后台”,找到可能有后台地址的php文件,点击编辑跳转
找到themes/admin/login/index.html
登入http://www.gsjksu2kig.com/themes/admin/login/index.html
答案并不对。
尝试在金瑞币平台网站日志找到答案
搜一下/login/index.html,这部分网址应该是没问题的
右键转到该网址查看
得到后台页面
答案:http://www.gsjksu2kig.com/admin.php/login/index.html
服务器取证-15
必要截图:
文件内容搜索“salt”,很常规
第三个就是答案。
答案:GWwRbMOPJYZCvE5gembG
服务器取证-16
必要截图:
navicat ssh隧道连接,与打金平台数据库的连接同理
用户名:bd4nqn45ej
密码:hjGJWRiAX2JLSeNa
权限改成所有人
填入信息
在数据库中的wym_admin_user表里找到后台的登陆密码
将123456的加密值7c4a8d09ca3762af61e59520943dc26494f8941b替换原值
输入账号:admin,密码:123456
进入后台
在系统配置→基础设置里看到手续费为36%
答案:36
服务器取证-17
必要截图:
在充值管理中看到有三种,提币管理也是,如图右侧有充值成功的字样
金瑞币平台相关题目结束
答案:3
服务器取证-18
二号集群节点指的是k8s-node2,即003检材
思路:题目说正在运行的除外,而宝塔面板上的都是运行的,所以可以去火眼的文件分析里找
必要截图:
求大佬解答!
虽说是在文件里找,但具体怎么就找到opt文件夹,逻辑是什么目前我并不清楚。
图中可以看到有5个网站源码目录
答案:5
服务器取证-19
必要截图:
比赛中,在火眼搜索memcached
很快在一号集群节点找到答案11211
但是题目说的是二号集群节点,不知道如何解释,两个用的是一个?
在003node2虚拟机里输入命令得到答案11211来的更直接
命令:netstat -anpt
可以加个 | grep memcached 即 netstat -anpt | grep memcached 就是仅搜索memcached的信息
-anpt的-n的作用是以数字形式显示地址和端口号
而如果你用netstat tulp,你会发现能看到memcached,但是还是看不到端口。
答案:11211
服务器取证-20
思路:看数据库
必要截图:
宝塔面板查看数据信息,权限改成所有人
数据库用户名:G3XIWj
密码:YhxwznesRscGAXnH
位置:192.168.2.200
注意主机是192.168.2.200,取决于数据库的位置。虽然网站在003,但是数据库在002。
填入对应信息
在mh_user表里找到rmb最多的用户:ZrAuyMT1tyo
答案:ZrAuyMT1tyo
服务器取证-21
必要截图:
文件内容搜索到相关文件,但是看不到详细的域名
网站日志找到后台网址(做过前面的这个就有经验了,挺好找的)
http://www.jiaoyoumf0up.com/admin/login.php
接下来去数据库找用户密码:
mh_config表里找到用户名和密码
123456的sha1加密值7c4a8d09ca3762af61e59520943dc26494f8941b替换原值,发现不行。
那我们需要确定加密方法
文件内容搜索用户名admin,找到ajax.php文件
在ajax.php看到加密方式:md5(config('name').config('pwd'))
意思是把从配置文件获取的 name 和 pwd 进行拼接,接着使用 md5() 函数对拼接后的字符串进行加密。
按照新的逻辑构造密码123456,得到:a66abb5684c45962d887564f08346e8d
替换数据库pwd
输入用户名:admin,密码123456
进入后台
系统管理→盲盒信息配置找到二级域名,域名之间用逗号隔开
12个逗号所以有13个域名。
在数据库里也能看到,但是之前不确定user_url就是二级域名
答案:13
服务器取证-22
必要截图:
系统管理→在线支付配置可以看到支付密钥
答案:LDAWIucAQQGQp7rEE4nSlvzQMKZxTxopqNSwjL8PcAIBbVLJkh
服务器取证-23
必要截图:
答案:5432ef
盲盒平台相关题目结束
服务器取证-24
思路:在文件里找
必要截图:
文件内容搜索“验证码”,发现“验证码发送接口”字样。
打开php文件,找到验证码发送接口域名
服务器取证-25
必要截图:
文件内容搜索admin(可能有关于登陆的设置信息),发现indexaction.class.php
打开indexaction.class.php,可以看到用了“getpass”方法进行加密。
文件内容搜索getpass,找到方法说明所在的文件
打开文件可以看到加密方法
加密方法:
①:对密码进行一次md5加密
②:对从配置文件中获取的cfg_adminkey值进行一次md5加密
③:①②拼接,整体进行一次md5加密
④:整体进行一次sha1加密
一共4次哈希函数加密。
答案:4
服务器取证-26
必要截图:
接上题,题目所指的“额外加密字符串”就是cfg_adminkey,文件内容搜索cfg_adminkey直接可以找到答案。
答案:26XBAmVMs+n_
服务器取证-27
思路:接上两题,我们一步步的在获取后台登陆的相关信息,所以这一题尝试登入后台找答案
必要截图:
网站日志找到后台网址:http://www.jiedai0rmr.com/index.php?g=Admin&m=Index&a=login
后台网站
连接网站数据库
数据库用户名:MotX5DW
密码:TKFTciiHS8nLjDiX
找到后台登录信息所在表,准备替换密码
①:对密码进行一次md5加密
②:对26XBAmVMs+n_进行一次md5加密
③:①②拼接,整体进行一次md5加密
④:整体进行一次sha1加密
构造出123456的加密值:de9369f810db1f06d5197211314e04db9609d595
替换原密码加密值
登入后台
借款列表共43条记录
答案:43
服务器取证-28
必要截图:
用户管理界面找到包玉莲,点击查看资料
找到银行卡号:
答案:6227001756030083140
服务器取证-29
必要截图:
系统设置→贷款设置,看到贷款最大金额
答案:350000
服务器取证-30
必要截图:
连接服务器
找到远程数据库root用户对应的密码
填入信息,这样连可以看到位于192.168.2.200上所有的数据库
图中有11个数据库
其中有7个是网站数据库
4个是MySQL自带的数据库:
`information_schema`:存储数据库元数据,如表结构、列信息等。
`mysql`:核心系统数据库,存储用户权限、数据库配置等关键信息。
`performance_schema`:用于监控MySQL服务器执行性能。
`sys` :提供了一系列方便查询性能和元数据的视图。
答案:7
希望wp足够清晰,谢谢观看❤
今年还有很多比赛,会尽量跟上接下来比赛的wp!
扫一扫
4656
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
