22长安杯电子取证复现(检材一,二)

检材一

先用VC容器挂载,拿到完整的检材

 从检材一入手,火眼创建案件,打开检材一

1.检材1的SHA256值为

计算SHA256值,直接用火眼计算哈希计算

9E48BB2CAE5C1D93BAF572E3646D2ECD26080B70413DC7DC4131F88289F49E34

2.分析检材1,搭建该服务器的技术员IP地址是多少?用该地址解压检材2

要找技术员的ip

在火眼中访问登录日志

ip:172.16.80.100

因为要搭建应该要远程连接才能运维,所以选择查看登录日志
3.检材1中,操作系统发行版本号为

运用命令查找

cat /etc/redhat-release

操作系统发行的版本号 7.5.1804(Core)

4.检材1系统中,网卡绑定的静态IP地址为

 启动镜像,创建虚拟机后,会自动重置密码(登录用户为root,密码为123456,因为是第一次做电子取证,不知道在登录时密码是不显示的,以为是虚拟机卡了)

成功登录,查看ip

172.16.80.133

ifconfig

5.检材1中,网站jar包所存放的目录是 

查看历史记录,发现有下载jar包

 查看源文件,查看history发现里面有很多的关于jar的命令,并且都是在/web/app目录下的

 

6.检材1中,监听7000端口的进程对应文件名为 

命令执行看看有没有在监听7000端口的,没有发现,

netstat -anp | grep 7000

 查看历史,看看什么可能是什么文件的执行监听端口,发现后面的jar运行后,有查看端口的操作,所以分别运行jar包

nohup  java  -jar  /web/app/exchange.jar  >/dev/null 2>&1 &
nohup  java  -jar  /web/app/admin.jar  >/dev/null 2>&1 &
nohup  java  -jar  /web/app/market.jar  >/dev/null 2>&1 &
nohup  java  -jar  /web/app/ucenter.jar  >/dev/null 2>&1 &
nohup  java  -jar  /web/app/cloud.jar  >/dev/null 2>&1 &

先进入到/web/app目录下 ,

分别运行5个jar包,在运行结束后再一次查看是否有监听7000端口的

发现工作进程为1508在监听7000端口,查询进程的文件名

ps -aux |grep 7000

监听的文件名为cloud.jar

7.检材1中,网站管理后台页面对应的网络端口为

暂时空一下,网站的页面都不清楚

从15题看回来,检材二中就包含网站,在火眼中就能查看到网站后台的端口

端口:9090

8.检材1中,网站前台页面里给出的APK的下载地址是

apk是英文AndroidPackage的缩写,也就是我们常说的Android系统安装包

找到两个二维码扫描一下就能拿到

https://pan.forensix.cn/f/c45ca511c7f2469090ad/?dl=1

9.检材1中,网站管理后台页面调用的用户表(admin)里的密码字段加密方式为?

对admin-api.jar包进行反编译分析

md5加密

10.分析检材1,网站管理后台登录密码加密算法中所使用的盐值是

盐值:系统用来和用户密码进行组合而生成的随机数值,称作salt值;salt相当于加密的密钥,增加破解的难度。常用的单向散列算法有MD5、SHA等。

盐值为:XehGyeyrVgOV4P8Uf70REVpIw3iVNwNs

检材二

11.检材2中,windows账户Web King的登录密码是

解压后,用火眼打开就能看见

135790

12.检材2中,除检材1以外,还远程连接过哪个IP地址?并用该地址解压检材3

远程连接ip地址需要用到命令,查看SSH历史输入的命令(SSH系统就是专门用来远程连接的)

SSH:由 IETF制定的建立在应用层基础上的安全网络协议。它是专为远程登录会话(甚至可以用Windows远程登录Linux服务器进行文件互传)和其他网络服务提供安全性的协议,可有效弥补网络中的漏洞。通过SSH,可以把所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。目前已经成为Linux系统的标准配置

ip:172.16.80.128
13.检材2中,powershell中输入的最后一条命令是

启动检材二的镜像后,进入powershell,powershell用于Windows进行系统管理且powershell有终端记忆历史命令的功能,进入后按上键就可以查看历史命令

powershell:

PowerShell是一种功能强大的脚本语言和shell程序框架,主要用于Windows计算机方便管理员进行系统管理并有可能在未来取代Windows上的默认命令提示符。PowerShell脚本因其良好的功能特性常用于正常的系统管理和安全配置工作,然而,这些特性被攻击者理解并转化为攻击特性,也就成为了攻击者手中的攻城利器,给企业网络造成威胁。

 14.检材2中,下载的涉案网站源代码文件名为

在虚拟机中,打开Google浏览器查看下载记录,再解压看看,涉及到网站的只有一个,还有一个app

 文件名:ZTuoExchange_framework-master.zip

15.检材2中,网站管理后台root账号的密码为

密码为root

看到这里,开始涉及网站了,也出现了网址,所以可以回头去做检材一中的关于网站的问题

 16.检材2中,技术员使用的WSL子系统发行版本是

虚拟机powershell中执行

wsl -l -v

版本:20.04

17.检材2中,运行的数据库服务版本号是

在虚拟机中先运行Ubuntuwsl,在用mysql --version查看数据库版本(我认为应该是技术员使用的是WSL子系统,所以要先运行起来才能查看数据库的版本)

 18. 上述数据库debian-sys-maint用户的初始密码是

初始密码会保存在配置文件rootfs/etc/mysql

debian-sys-maint是mysql8.0的一个默认用户,默认密码在debian.cnf文件,在虚拟机中用命令查看(也可以在火眼中找到)

还是先进入wsl子系统下,进入mysql目录查看debian.cnf,权限不够,切换到root用户

su root

 再查看debian.cnf文件,看见password

19. 检材3服务器root账号的密码是

在SSH系统历史命令中能看见远程连接过root,密码为h123456

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/2311.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

dremio支持设置

Dremio 支持提供可用于诊断目的的设置。这些设置通过 Dremio UI:设置>支持启用(或禁用) 使用 Client Tools 可以配置当用户查看数据集中的数据时,Dremio 项目的工具栏上显示哪些客户端应用程序按钮。用户可以通过单击相应的工具…

海外媒体广告投放 - 大舍传媒助力企业迈向新台阶,实现精准投放

一、为何选择海外媒体广告投放 随着全球化进程的不断推进,越来越多的企业开始将目光投向国际市场。海外媒体广告投放作为一种有效的宣传手段,可以帮助企业在全球范围内提高品牌知名度和影响力,吸引潜在客户,促进产品销售。 二、…

12、【装饰器模式】动态地为对象添加新功能

你好,我是程序员雪球。 今天我们来聊聊 23 种设计模式中,一种常见的结构型模式,装饰器模式。聊聊它的设计思想、实现原理,应用场景,以及如何使用。 装饰器模式(Decorator Pattern)是一种结构型…

使用d3.js画一个BoxPlot

Box Plot 在画Box Plot之前,先来了解下Box Plot是什么? 箱线图(Box Plot)也称盒须图、盒式图或箱型图,是一种用于展示数据分布特征的统计图表。 它由以下几个部分组成: 箱子:表示数据的四分…

ruoyi element-ui 实现拖拉调整图片顺序

ruoyi element-ui 实现拖拉调整图片顺序 安装sortablejs https://sortablejs.com/npm 安装sortablejs npm install sortablejs --save相关options var sortable new Sortable(el, {group: "name", // or { name: "...", pull: [true, false, clone, …

甘特图:如何制定一个有效的产品运营规划?

做好一个产品的运营规划是一个复杂且系统的过程,涉及多个方面和阶段。以下是一些关键步骤和考虑因素,帮助你制定一个有效的产品运营规划: 1、明确产品定位和目标用户: 确定产品的核心功能、特点和优势,明确产品在市…

python自动生成SQL语句自动化

👽发现宝藏 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。【点击进入巨牛的人工智能学习网站】。 Python自动生成SQL语句自动化 在数据处理和管理中,SQL(Structured …

统一SQL 支持Oracle CHAR和VARCHAR2 (size BYTE|CHAR)转换

统一SQL介绍 https://www.light-pg.com/docs/LTSQL/current/index.html 源和目标 源数据库:Oracle 目标数据库:Postgresql,TDSQL-MySQL,达梦8,LightDB-Oracle 操作目标 在Oracle中的CHAR和VARCHAR2数据类型&…

揭开ChatGPT面纱(1):准备工作(搭建开发环境运行OpenAI Demo)

文章目录 序言:探索人工智能的新篇章一、搭建开发环境二、编写并运行demo1.代码2.解析3.执行结果 本博客的gitlab仓库:地址,本博客对应01文件夹。 序言:探索人工智能的新篇章 随着人工智能技术的飞速发展,ChatGPT作为…

nginx服务访问页面白色

问题描述 访问一个域名服务返回页面空白,非响应404。报错如下图。 排查问题 域名解析正常,网络通讯正常,绕过解析地址访问源站IP地址端口访问正常,nginx无异常报错。 在打开文件时,发现无法打开配置文件&#xff0c…

982: 输出利用二叉树存储的普通树的度

解法: 由题意,根据二叉树求对应的合法普通树的度,度就是节点儿子数的最大值。 也就是左孩子+兄弟 在二叉树中就是某根节点的右孩子某根节点的右孩子的右孩子。。。 例AB#CD##E### 关于树概念不理解的可以看看981: 统计利用二叉…

牛客NC179 长度为 K 的重复字符子串【simple 哈希,滑动窗口 C++、Java、Go、PHP】

题目 题目链接: https://www.nowcoder.com/practice/eced9a8a4b6c42b79c95ae5625e1d5fd 思路 哈希统计每个字符出现的次数。没在窗口内的字符要删除参考答案C class Solution {public:/*** 代码中的类名、方法名、参数名已经指定,请勿修改&#xff0c…

记录Python链接mysql的数据库的2种操作方式

一、使用pymysql库方式 import pymysqldb pymysql.connect(hostlocalhost,userroot,password123456) #创建链接,在3.8以后好像已经不支持这个种链接方式了, #db pymysql.connect(localhost,root,123456) cursor db.cursor()#拿到游标这样我们就拿到了…

一维递归:递去

示例&#xff1a; /*** brief how about recursive-forward-1? show you here.* author wenxuanpei* email 15873152445163.com(query for any question here)*/ #define _CRT_SECURE_NO_WARNINGS//support c-library in Microsoft-Visual-Studio #include <stdio.h>…

ctfshow 每周大挑战RCE极限挑战

讨厌SQl看到这个了想来玩玩 rce1 <?phperror_reporting(0); highlight_file(__FILE__);$code $_POST[code];$code str_replace("(","括号",$code);$code str_replace(".","点",$code);eval($code);?>括号过滤点过滤&…

c++补充

构造函数、析构函数 #include <iostream> using namespace std;// 构造函数、析构函数 // --- "构造函数"类比生活中的"出厂设置" --- // --- "析构函数"类比生活中的"销毁设置" --- // 如果我们不写这两种函数&#xff0c;编译…

Jammy@Jetson Orin - Tensorflow Keras Get Started: 000 setup for tutorial

JammyJetson Orin - Tensorflow & Keras Get Started: 000 setup for tutorial 1. 源由2. 搭建环境2.1 安装IDE环境2.2 安装numpy2.3 安装keras2.4 安装JAX2.5 安装tensorflow2.6 安装PyTorch2.7 安装nbdiff 3. 测试DEMO3.1 numpy版本兼容问题3.2 karas API - model.compil…

B008-方法参数传递可变参数工具类

目录 方法参数传递可变参数冒泡排序Arrays工具类Arrays工具类常用方法 方法参数传递 /*** java中只有值传递* 基本数据类型 传递的是具体的值* 引用数据类型 传递的是地址值*/ public class _01_ParamPass {public static void main(String[] args) {// 调用方法 getSumge…

爱普生计时设备AUTOMOTIVE RA8900CE DTCXO RTC

主要特点出场已校准带有DTCXO的RTC&#xff0c;并且内部集成晶体单元高精度: 3.4 ppm 40 to 85 C(9 s/月.)时钟输出:1 Hz.1024 Hz.32.768 kHzI 2 C Interface: Fast mode (400 kHz)The l2C-Bus is a trademark ofNXP Semiconductors供电电压: 2.5-5.5 V(main),1.6-5.5 V(备份电…

学习springcloud中Nacos笔记

一、springcloud版本对应 版本信息可以参考&#xff1a;版本说明 alibaba/spring-cloud-alibaba Wiki GitHub 这里说2022.x 分支对应springboot的版本信息&#xff1a; Spring Cloud Alibaba VersionSpring Cloud VersionSpring Boot Version 2022.0.0.0* Spring Cloud 202…