話不多說，先上鏈接，這個包含一個2G的服務(wù)器鏡像和題目，原題是弘連公司的，致謝，此處純粹分享解法供大家學(xué)習(xí)。

第二次做題目，發(fā)現(xiàn)寶塔新版已經(jīng)不支持，所以題目意義減少，還是歡迎手搓與小白來看看

鏈接: https://pan.baidu.com/s/1p8T7Fez_VlnSqdzvptARRw?pwd=ybww 提取碼: ybww 復(fù)制這段內(nèi)容后打開百度網(wǎng)盤手機(jī)App，操作更方便哦
--來自百度網(wǎng)盤超級會員v2的分享

鏈接: 百度網(wǎng)盤 請輸入提取碼 提取碼: ybww

發(fā)兩遍以防萬一。

建議先自己做一下，我每道題都會盡我可能的解析。

1：請計(jì)算該檢材源盤的SHA256哈希值。（5分）

此處我用了弘連的火眼，跑一下就出來了。

此處也可嘗試用hashCalc，但是由于文件太大，沒辦法，而且之后可能會用到，所以火眼，如果沒有火眼，美亞的取證大師也是可以的，這個偏pc的取證小白比較熟練。

2：該服務(wù)器的內(nèi)核版本。（5分）

方法很多，此處常規(guī)就是建虛擬機(jī)查看，不得不說弘連的火眼仿真很好，建虛擬機(jī)很方便

?都不用關(guān)注密碼問題，win也不用老毛桃繞過什么，如果沒有，那就vm怎么老老實(shí)實(shí)建一個，結(jié)果應(yīng)該是一樣的，但是也可能設(shè)計(jì)的繞密問題，就會比較麻煩。

?輸入賬號密碼成功登錄

這里要區(qū)分命令，a和r，并不是都可以的，一個是看系統(tǒng)內(nèi)核，一個是查看系統(tǒng)信息

內(nèi)核版本命令uname -r

?得到答案uname -a也可以

然后再涉及到連xshell的時候，我本來想改本地的虛擬網(wǎng)絡(luò)適配器，但是發(fā)現(xiàn)問題

就是原來主機(jī)的ip和網(wǎng)關(guān)是錯誤的，所以這題只有改DHCP，因?yàn)橹苯优渲靡矝]什么意義了

所以我們只能修改一手dhcp

?3：請找出該服務(wù)器中監(jiān)聽端口11211對應(yīng)的服務(wù)是。（5分

兩命令均可

netstat -tunlp 查看所有進(jìn)程

lsof -i：11211查看特定進(jìn)程具體信息

查看一下是內(nèi)存緩存進(jìn)程

4： 通過嫌疑人操作命令發(fā)現(xiàn)其曾經(jīng)有刪除過一個文件是（5分）

我的做法是直接查看歷史命令history

?有rm就是刪除的命令

5：請找出服務(wù)器中使用何種工具管理網(wǎng)站（5分）

我第二次編輯就手搓一點(diǎn)

建議winscp看結(jié)構(gòu)，手搓是我比較喜歡的方法，其實(shí)這里就可以看出寶塔，然后看文件

?看history就知道干了什么bt

?然后還發(fā)現(xiàn)了一定的線索

下面是我第一次寫博客的解析，很簡單，視角很幼稚。

首先ifconfig查看網(wǎng)絡(luò)鏈接情況，看到3個，docker是容器，ens33是主機(jī)，lo是本機(jī)（此處做題人的ens33的ip地址和我的不一樣）這張圖是修改完成的。

?第一步進(jìn)入網(wǎng)卡的界面 cd /etc/sysconfig/network-scripts/

ls看內(nèi)容，可以找到icfg-ens33 和ifcfg-ens33 這個我建議兩個都試一下，發(fā)現(xiàn)一個空白的，一個可以編輯。

?然后輸入嘗試后發(fā)現(xiàn)真實(shí)網(wǎng)卡在意ifcfg-ens33，vi 進(jìn)入編輯后

我解釋一下

1：BOOTPROTO那個如果后面是steady就說明網(wǎng)卡會嚴(yán)格按照此處ip進(jìn)行訪問，為了讓我們可以連接上，一般都是吧bootroto后改成dhcp

2：IPADDR代表了原有ip地址，此處既然讓他聯(lián)網(wǎng)，那就不要（前面加#）

3：GATEWAY代表了，我也不知道，但是就是要刪掉，注釋掉

4：就留下netmask，然后保存關(guān)閉。

此處更改的意義就在于讓虛擬機(jī)服務(wù)器跟著電腦的網(wǎng)卡來。

?然后就會出現(xiàn)下圖

然后我們就可以用xshell連接

?一開始不顯示登錄界面，去點(diǎn)擊左側(cè)新建會話，然后就登錄

root

123456

?

?如下界面，就顯示登錄成功，xshell遠(yuǎn)程連接成功。

方便度會大大提升，說了這么多，都忘了問題了，如下：

請找出服務(wù)器中使用何種工具管理網(wǎng)站？

我這里建議使用進(jìn)程去判斷，會比較準(zhǔn)確。

查看所有進(jìn)程 ps aux

?發(fā)現(xiàn)部分可疑目標(biāo)，www/sever?? apache

根據(jù)經(jīng)驗(yàn)判斷，，結(jié)合history，使用了容器，docker，更加可以傾向于此處是寶塔

輸入bt驗(yàn)證，發(fā)現(xiàn)確實(shí)是

7：請找出該工具綁定的手機(jī)號是（5分）

思路是登錄寶塔，所以先要修改密碼，不然進(jìn)不去

?然后查看網(wǎng)址

?復(fù)制粘貼器內(nèi)網(wǎng)網(wǎng)址，然后安裝賬號密碼輸入，即可進(jìn)入寶塔面板。

登錄看到如下界面

火眼本身就可以看到

?

發(fā)現(xiàn)看來看去找不到，186后面四個沒有了，可能是寶塔對其有一個保護(hù)這里用到網(wǎng)探工具

?連接完了就下一步

（發(fā)現(xiàn)還是取證工具猛多了）?

終于在用戶信息處找到

QAQ不得不說，真的難找！

然后我們從文件結(jié)構(gòu)角度出發(fā)看一下，理論是這電話號碼是存放在某一個文件夾下的

www/sercer/panel/data目錄下的userinfo.json就是存放寶塔面板登錄信息的

?

請找出其管理的網(wǎng)站域名共有多少個。（5分）

第二次做：寶塔壞掉了，應(yīng)該是新版不支持了，只能手搓

這里要區(qū)分一個事情，網(wǎng)站不等于域名，就是說一個網(wǎng)站可以有多個域名

?所以寶塔面板看到了兩個網(wǎng)站，實(shí)際上是三個域名，小心機(jī)了

8：請找出服務(wù)器曾經(jīng)刪除的一個網(wǎng)站，其域名是（5分）

?9：請找出該服務(wù)器docker容器共有多少個（5分）

10： 請找出dokcer容器名為zealous_driscoll的容器ID是

docker ps -a顯示有三個容器

然后對應(yīng)一下第二個 就是，所以要查看第二個的具體信息，就docker inspect

才可以查看到完整的容器id

?

?

?11：請找出該視頻網(wǎng)站的網(wǎng)站源碼存儲路徑（5分）

既然涉及網(wǎng)站，那就針對網(wǎng)站按道理說，www.app10.com打開就行，但是發(fā)現(xiàn)不行

?其實(shí)根目錄就是答案，完成了。下面展示的是連接數(shù)據(jù)庫操作，方便之后操作。

?若點(diǎn)擊域名，電腦直接指向到互聯(lián)網(wǎng)

?為了登錄我們的網(wǎng)站，必須把網(wǎng)站指向指向到我們的計(jì)算機(jī)。

打開此路徑（windows/system32/drivers/etc），點(diǎn)擊hosts進(jìn)行修改

?

?然后就可以把網(wǎng)站指向指導(dǎo)本機(jī)上，我們再試一次。發(fā)現(xiàn)數(shù)據(jù)庫沒開，所以打開。

?要登錄數(shù)據(jù)庫，就要尋找相關(guān)用戶名與密碼。

?一般在config.php

?得到數(shù)據(jù)庫相關(guān)數(shù)據(jù)。

但是要找到數(shù)據(jù)庫不容易，所以大膽猜測，寶塔的數(shù)據(jù)庫可能在容器里（規(guī)律）

所以先啟動容器

查看容器

?啟動了，重啟網(wǎng)站發(fā)現(xiàn)

請找出該視頻服務(wù)器網(wǎng)站成功連接日志名（5分）

一道基礎(chǔ)常識題，記住，我也不知道為什么，哈哈哈。

www/log/access就是

1. 請找出該視頻網(wǎng)站所用數(shù)據(jù)庫的端口。（5分）docker ps3306端口

?17：請找出該視頻網(wǎng)站數(shù)據(jù)庫“honglian”的密碼。這個思路是連接數(shù)據(jù)庫，然后數(shù)據(jù)庫用戶里面找。

直接nevicat連接xshell

?然后連接數(shù)據(jù)庫，密碼config.php里有，root1234

?在user順利找到用戶信息

?倒推是簡單的哈希解密

?

?所以直接用admin登錄，密碼就是123456

登錄成功

18：請固定該視頻網(wǎng)站中“弘連宣傳視頻1”中視頻文件的MD5值。?

文件MD5應(yīng)該是要下載求得。下載視頻我用的是網(wǎng)鏡，東西很多，只要能下載視頻就行，然后分析。

?

?得到答案

18：該視頻網(wǎng)站電子郵箱為（5分）

用戶界面

19：該視頻網(wǎng)站用戶有多少個（5分）

?20：該視頻網(wǎng)站后臺限制視頻上傳最大是多少（5分）

?21：找出該視頻網(wǎng)站登錄時密碼采用的加密方式（5分）

sha1加密方式，我們猜測倒推得。

我第一次寫解析，寫的很不好，希望各位體諒，希望學(xué)習(xí)電子取證的小伙伴能和我一起進(jìn)步，一起成長，有什么疑問，或者我存在錯誤之處請指正我一定虛心修改，謝謝大家。

第二次做，覺得題目寶塔壞掉了，很可惜，做題意義減小。文章來源地址http://www.zghlxwxcb.cn/news/detail-468217.html

到了這里，關(guān)于電子取證之服務(wù)器取證，本人第一次從pc取證到服務(wù)器，這里有一套例題分享給大家，所有解析我都盡可能全面具體，希望與各位同仁一起學(xué)習(xí)。（二次修改）的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！