20长安杯部分

检材 1 的操作系统版本

CentOS Linux 7.6.1810 (Core)

检材 1 中，操作系统的内核版本是 

3.10.0-957.el7.x86_64

检材 1 中磁盘包含一个 LVM 逻辑卷，该 LVM 开始的逻辑区块地址（LBA）是 

2099200

物理卷（Physical Volume,PV）：就是指硬盘分区，也可以是整个硬盘或已创建的软RAID，是LVM的基本存储设备。

卷组（Volume Group,VG）：是由一个或多个物理卷所组成的存储池，在卷组上能创建一个或多个逻辑卷。

逻辑卷（Logical Volume,LV）：类似于非LVM系统中的硬盘分区，它建立在卷组之上，是一个标准的块设备，在逻辑卷之上可以建立文件系统

 

分区三的起始地址是2099200，逻辑卷中的centos的大小和分区三相同，猜测其实扇区也相同

检材 1 中网站“www.kkzjc.com”对应的 Web 服务对外开放的端口是

32000

把检材仿真起来，查看history

history |grep www.kkzjc.com

有个conf.d文件去找找

检材 1 所在的服务器共绑定了（）个对外开放的域名 

3

查看ip和端口开放，存在30000,31000,32000三个端口

刚刚在寻找的端口的时候发现了网站所处的目录，所以根据文件显示

检材 1 所在的服务器的原始 IP 地址是（） 

应该是从历史命令中查看，最早的ip地址应该就是原始地址，但是检材一中没有找到，从检材二入手

嫌疑人曾经远程登录过检材 1 所在的服务器，分析并找出其登录使用的 IP 地址是

192.168.120.1

last日志中会储存之前的登录的记录

22长安杯部分

解压检材三

密码：172.16.80.128

解压出来创建仿真和火眼档案

20.检材3中，监听33050端口的程序名（program name）为

Docker是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可抑制的容器中，然后发布到任何流行的Linux机器上，也可以实现虚拟化。容器完全使用沙盒机制，相互之间不会存在任何接口。几乎没有性能开销，可以很容易的在机器和数据中心运行。最重要的是，他们不依赖于任何语言、框架或者包装系统。简单说docker就是一个容器

启动仿真，先查看端口的占用情况

netstat -nplt

没有33050端口的占用情况，查看历史记录，发现docker容器

history

 启动docker容器

systemctl start docker
docker ps

 启动之后再次查看端口的情况

netstat -nplt

程序名为：docker-proxy

21.除MySQL外，该网站还依赖以下哪种数据库

在admin-pi.jar反编译中

或者查看历史记录

mongodb

redis

22.检材3中，MySQL数据库root账号的密码是

检材一中的admin -api.jar包反编译后就有root账号的密码

密码：shhl7001

在23题中也能看见

23.检材3中，MySQL数据库在容器内部的数据目录为

docker-compose的yml文件

数据目录为：/var/lib/mysql/

24.涉案网站调用的MySQL数据库名为

还是设计到了Mysql的问题，在admin-api.jar包的反编译中也能找到

在历史记录中，发现删除了b1，检材二中打开发现b1

25.勒索者在数据库中修改了多少个用户的手机号？

26.勒索者在数据库中删除的用户数量为

把三张表的用户数量进行对比发现删除了28个

27.还原被破坏的数据库，分析除技术员以外，还有哪个IP地址登录过网站管理后台？用该地址解压检材4

172.16.80.197

在登录日志中能发现和之前技术员不同的ip提交了登录信息

28.还原全部被删改数据，用户id为500的注册会员的HT币钱包地址为

cee631121c2ec9232f3a2f028ad5c89b

直接找到id为500用户

29.还原全部被删改数据，共有多少名用户的会员等级为'LV3'

在member_grade中知道等级为3的member_grade_id为3，到大表中过滤一下

30.还原全部被删改数据，哪些用户ID没有充值记录 

318,989

31.还原全部被删改数据，2022年10月17日总计产生多少笔交易记录？

把交易的表导出后，利用筛选找到有1016个

32.还原全部被删改数据，该网站中充值的USDT总额为