2020长安杯wp_火眼证据分析软件-优快云博客

本文链接：https://blog.youkuaiyun.com/XiAXiAb/article/details/120889178

本文详述了一位分析师在Linux环境中分析Docker日志、排查网络配置问题的过程。通过启动Docker服务，进入容器检查配置文件，并使用历史记录和日志分析工具来查找特定IP地址的相关信息。同时，提到了针对Windows系统密码解密的多种方法，以及网络连接问题的解决，涉及到IIS服务器的关键代码解析。此外，还探讨了数据库连接、移动设备取证和虚拟机密码移除的技巧。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

检材1

1.D.Centos Linux release 7.6.1810 (Core)
在这里插入图片描述
2.3.10.0
3.2099200
4.32000
5.3
6.192.168.99.222

7.192.168.99.222（解压成功即可）在这里插入图片描述

8.进入docker容器中去看nginx的配置文件
思路：本机里nginx配置文件里没有信息那可能不是直接启的服务，ETC下看到有docker docker ps发现未启动docker服务
// 启动docker服务
systemctl start docker
// 进入容器
docker exec -it 容器id /bin/bash
// 查看历史记录
history 在这里插入图片描述
然后进到 cd etc/nginx/conf.d/hl.conf
9.docker logs 容器id | grep 192.168.99.222 | wc -l
18次

检材2

10.2D926D5E1CFE27553AE59B6152E038560D64E7837ECCAD30F2FBAD5052FABF37 在这里插入图片描述
11.18363.1082

12.2020-09-22 13:15:34 在这里插入图片描述

13.2020-09-18 17:54: 在这里插入图片描述
此处应该为安装包安装时间

14.6 在这里插入图片描述
15.从log中看出检材1的host为192.168.99.3 在检材2中搜索192.168.99.3 809116.docker-proxy 从图中命令看出服务器开的8091端口映射到80

17.www.sdhj.com
18.最近访问中发现有个苹果手机，再去搜索该文件夹
将iphone备份导出用手机大师取证
sstt119999 在这里插入图片描述
19.tg数据被删了，用火眼证据分析软件取
Telegram

在这里插入图片描述

20.dogecoin

在这里插入图片描述
21.收款地址
DPBEgbwap7VW5HbNdGi9TyKJbqTLWYYkvf
22.交易时间通过收款地址去dogecoin官网查，代理g了改天查
23.数量也是根据官网查询得到的
24.zzzxxx
利用pyvmx-cracker工具 ~~windows太难安装了救命~~
~~kali虚拟机又出现dns解析问题烦人!!~~
python3 pyvmx-cracker.py -v 1.vmx -d wordlist.txt
在这里插入图片描述
25.CC7EA3AB90AB6B28417E08C715C243CE58EA76D71FD141B93F055A58E9BA561A
用火眼仿真解密进去后发现是个win7 ~~登录需要密码~~ 密码没给
改变思路去消除密码
方法一：先解开密码再利用火眼仿真软件消除密码(~~我没有成功提示虚拟机创建失败~~后面再试试 )好像是要移除密码再仿真！！！
找到了找到了移除密码!!!
在这里插入图片描述

方法二：利用火眼证据分析软件取，~~不知道为什么我又没取出来~~
方法三：利用美亚取证大师取emmm取出来了，~~那为什么火眼证据分析没成功！！~~
~~可是取证大师没有分析出来邮件~~
取出来了!!!就是没有移除加密的原因!
在这里插入图片描述

26.2020-09-20 12:53:00

27.honglian7001 弘连好喜欢用这个密码不会就猜它准没错

28.Xshell

29. qwer1234!@#$
30.
FF593FCCB3770B8845A3334631F8E80807638EE722C5AA7B34E877589857C3BA

31.c
在这里插入图片描述

32.card
在这里插入图片描述
33. C:\inetpub\wwwroot\v7w
34.80
35.~~glogin~~ dlogin
36.
36.OvO

37.关键代码为

<%@ page language="C#" autoeventwireup="true" inherits="dr_login_dllogin, App_Web_dllogin.aspx.7d7c2f33" %>

没怎么接触过IIS
这条语句的大概意思为C#
生成了App_Web_dllogin.aspx.7d7c2f33.dll
可以进bin目录核实一下
在这里插入图片描述

38.

42.E5E548CCAECD02608A0E053A5C7DCDBFBDD4BE5B0E743EB9DC8E318C369BEBC8

cd /etc/sysconfig/network-scripts/
vim ifcfg-ens33
在这里插入图片描述

在这里插入图片描述

很神奇刚开始能ping通百度但是当我下net-tools时又不行了
后继续修改 vi /etc/resolv.conf 昨天kali虚拟机也是修改这个文件 ~~192.168.1.1是为什么呢~~
在这里插入图片描述
ping百度成功后
yum install net-tools

？？？安装好后navicat就能连上数据库了
按理说netstat命令只是查询相关网络信息并显示
之前的22和1433端口应该都已开放
ummm…难道是刚刚网络不通的原因？