話不多說,先上鏈接,這個包含一個2G的服務(wù)器鏡像和題目,原題是弘連公司的,致謝,此處純粹分享解法供大家學(xué)習(xí)。
第二次做題目,發(fā)現(xiàn)寶塔新版已經(jīng)不支持,所以題目意義減少,還是歡迎手搓與小白來看看
鏈接: https://pan.baidu.com/s/1p8T7Fez_VlnSqdzvptARRw?pwd=ybww 提取碼: ybww 復(fù)制這段內(nèi)容后打開百度網(wǎng)盤手機(jī)App,操作更方便哦
--來自百度網(wǎng)盤超級會員v2的分享
鏈接: 百度網(wǎng)盤 請輸入提取碼 提取碼: ybww
發(fā)兩遍以防萬一。
建議先自己做一下,我每道題都會盡我可能的解析。
1:請計(jì)算該檢材源盤的SHA256哈希值。(5分)
此處我用了弘連的火眼,跑一下就出來了。
此處也可嘗試用hashCalc,但是由于文件太大,沒辦法,而且之后可能會用到,所以火眼,如果沒有火眼,美亞的取證大師也是可以的,這個偏pc的取證小白比較熟練。
2:該服務(wù)器的內(nèi)核版本。(5分)
方法很多,此處常規(guī)就是建虛擬機(jī)查看,不得不說弘連的火眼仿真很好,建虛擬機(jī)很方便
?都不用關(guān)注密碼問題,win也不用老毛桃繞過什么,如果沒有,那就vm怎么老老實(shí)實(shí)建一個,結(jié)果應(yīng)該是一樣的,但是也可能設(shè)計(jì)的繞密問題,就會比較麻煩。
?輸入賬號密碼成功登錄
這里要區(qū)分命令,a和r,并不是都可以的,一個是看系統(tǒng)內(nèi)核,一個是查看系統(tǒng)信息
內(nèi)核版本命令uname -r
?得到答案uname -a也可以
然后再涉及到連xshell的時候,我本來想改本地的虛擬網(wǎng)絡(luò)適配器,但是發(fā)現(xiàn)問題
就是原來主機(jī)的ip和網(wǎng)關(guān)是錯誤的,所以這題只有改DHCP,因?yàn)橹苯优渲靡矝]什么意義了
所以我們只能修改一手dhcp
?3:請找出該服務(wù)器中監(jiān)聽端口11211對應(yīng)的服務(wù)是。(5分
兩命令均可
netstat -tunlp 查看所有進(jìn)程
lsof -i:11211查看特定進(jìn)程具體信息
查看一下是內(nèi)存緩存進(jìn)程
4: 通過嫌疑人操作命令發(fā)現(xiàn)其曾經(jīng)有刪除過一個文件是(5分)
我的做法是直接查看歷史命令history
?有rm就是刪除的命令
5:請找出服務(wù)器中使用何種工具管理網(wǎng)站(5分)
我第二次編輯就手搓一點(diǎn)
建議winscp看結(jié)構(gòu),手搓是我比較喜歡的方法,其實(shí)這里就可以看出寶塔,然后看文件
?看history就知道干了什么bt
?然后還發(fā)現(xiàn)了一定的線索
下面是我第一次寫博客的解析,很簡單,視角很幼稚。
首先ifconfig查看網(wǎng)絡(luò)鏈接情況,看到3個,docker是容器,ens33是主機(jī),lo是本機(jī)(此處做題人的ens33的ip地址和我的不一樣)這張圖是修改完成的。
?第一步進(jìn)入網(wǎng)卡的界面 cd /etc/sysconfig/network-scripts/
ls看內(nèi)容,可以找到icfg-ens33 和ifcfg-ens33 這個我建議兩個都試一下,發(fā)現(xiàn)一個空白的,一個可以編輯。
?然后輸入嘗試后發(fā)現(xiàn)真實(shí)網(wǎng)卡在意ifcfg-ens33,vi 進(jìn)入編輯后
我解釋一下
1:BOOTPROTO那個如果后面是steady就說明網(wǎng)卡會嚴(yán)格按照此處ip進(jìn)行訪問,為了讓我們可以連接上,一般都是吧bootroto后改成dhcp
2:IPADDR代表了原有ip地址,此處既然讓他聯(lián)網(wǎng),那就不要(前面加#)
3:GATEWAY代表了,我也不知道,但是就是要刪掉,注釋掉
4:就留下netmask,然后保存關(guān)閉。
此處更改的意義就在于讓虛擬機(jī)服務(wù)器跟著電腦的網(wǎng)卡來。
?然后就會出現(xiàn)下圖
然后我們就可以用xshell連接
?一開始不顯示登錄界面,去點(diǎn)擊左側(cè)新建會話,然后就登錄
root
123456
?
?如下界面,就顯示登錄成功,xshell遠(yuǎn)程連接成功。
方便度會大大提升,說了這么多,都忘了問題了,如下:
請找出服務(wù)器中使用何種工具管理網(wǎng)站?
我這里建議使用進(jìn)程去判斷,會比較準(zhǔn)確。
查看所有進(jìn)程 ps aux
?發(fā)現(xiàn)部分可疑目標(biāo),www/sever?? apache
根據(jù)經(jīng)驗(yàn)判斷,,結(jié)合history,使用了容器,docker,更加可以傾向于此處是寶塔
輸入bt驗(yàn)證,發(fā)現(xiàn)確實(shí)是
7:請找出該工具綁定的手機(jī)號是(5分)
思路是登錄寶塔,所以先要修改密碼,不然進(jìn)不去
?然后查看網(wǎng)址
?復(fù)制粘貼器內(nèi)網(wǎng)網(wǎng)址,然后安裝賬號密碼輸入,即可進(jìn)入寶塔面板。
登錄看到如下界面
火眼本身就可以看到
?
發(fā)現(xiàn)看來看去找不到,186后面四個沒有了,可能是寶塔對其有一個保護(hù)這里用到網(wǎng)探工具
?連接完了就下一步
(發(fā)現(xiàn)還是取證工具猛多了)?
終于在用戶信息處找到
QAQ不得不說,真的難找!
然后我們從文件結(jié)構(gòu)角度出發(fā)看一下,理論是這電話號碼是存放在某一個文件夾下的
www/sercer/panel/data目錄下的userinfo.json就是存放寶塔面板登錄信息的
?
請找出其管理的網(wǎng)站域名共有多少個。(5分)
第二次做:寶塔壞掉了,應(yīng)該是新版不支持了,只能手搓
這里要區(qū)分一個事情,網(wǎng)站不等于域名,就是說一個網(wǎng)站可以有多個域名
?所以寶塔面板看到了兩個網(wǎng)站,實(shí)際上是三個域名,小心機(jī)了
8:請找出服務(wù)器曾經(jīng)刪除的一個網(wǎng)站,其域名是(5分)
?9:請找出該服務(wù)器docker容器共有多少個(5分)
10: 請找出dokcer容器名為zealous_driscoll的容器ID是
docker ps -a顯示有三個容器
然后對應(yīng)一下第二個 就是,所以要查看第二個的具體信息,就docker inspect
才可以查看到完整的容器id
?
?
?11:請找出該視頻網(wǎng)站的網(wǎng)站源碼存儲路徑(5分)
既然涉及網(wǎng)站,那就針對網(wǎng)站按道理說,www.app10.com打開就行,但是發(fā)現(xiàn)不行
?其實(shí)根目錄就是答案,完成了。下面展示的是連接數(shù)據(jù)庫操作,方便之后操作。
?若點(diǎn)擊域名,電腦直接指向到互聯(lián)網(wǎng)
?為了登錄我們的網(wǎng)站,必須把網(wǎng)站指向指向到我們的計(jì)算機(jī)。
打開此路徑(windows/system32/drivers/etc),點(diǎn)擊hosts進(jìn)行修改
?
?然后就可以把網(wǎng)站指向指導(dǎo)本機(jī)上,我們再試一次。發(fā)現(xiàn)數(shù)據(jù)庫沒開,所以打開。
?要登錄數(shù)據(jù)庫,就要尋找相關(guān)用戶名與密碼。
?一般在config.php
?得到數(shù)據(jù)庫相關(guān)數(shù)據(jù)。
但是要找到數(shù)據(jù)庫不容易,所以大膽猜測,寶塔的數(shù)據(jù)庫可能在容器里(規(guī)律)
所以先啟動容器
查看容器
?啟動了,重啟網(wǎng)站發(fā)現(xiàn)
請找出該視頻服務(wù)器網(wǎng)站成功連接日志名(5分)
一道基礎(chǔ)常識題,記住,我也不知道為什么,哈哈哈。
www/log/access就是
- 請找出該視頻網(wǎng)站所用數(shù)據(jù)庫的端口。(5分)docker ps3306端口
?17:請找出該視頻網(wǎng)站數(shù)據(jù)庫“honglian”的密碼。這個思路是連接數(shù)據(jù)庫,然后數(shù)據(jù)庫用戶里面找。
直接nevicat連接xshell
?然后連接數(shù)據(jù)庫,密碼config.php里有,root1234
?在user順利找到用戶信息
?倒推是簡單的哈希解密
?
?所以直接用admin登錄,密碼就是123456
登錄成功
18:請固定該視頻網(wǎng)站中“弘連宣傳視頻1”中視頻文件的MD5值。?
文件MD5應(yīng)該是要下載求得。下載視頻我用的是網(wǎng)鏡,東西很多,只要能下載視頻就行,然后分析。
?
?得到答案
18:該視頻網(wǎng)站電子郵箱為(5分)
用戶界面
19:該視頻網(wǎng)站用戶有多少個(5分)
?20:該視頻網(wǎng)站后臺限制視頻上傳最大是多少(5分)
?21:找出該視頻網(wǎng)站登錄時密碼采用的加密方式(5分)
sha1加密方式,我們猜測倒推得。
我第一次寫解析,寫的很不好,希望各位體諒,希望學(xué)習(xí)電子取證的小伙伴能和我一起進(jìn)步,一起成長,有什么疑問,或者我存在錯誤之處請指正我一定虛心修改,謝謝大家。文章來源:http://www.zghlxwxcb.cn/news/detail-468217.html
第二次做,覺得題目寶塔壞掉了,很可惜,做題意義減小。文章來源地址http://www.zghlxwxcb.cn/news/detail-468217.html
到了這里,關(guān)于電子取證之服務(wù)器取證,本人第一次從pc取證到服務(wù)器,這里有一套例題分享給大家,所有解析我都盡可能全面具體,希望與各位同仁一起學(xué)習(xí)。(二次修改)的文章就介紹完了。如果您還想了解更多內(nèi)容,請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!