一次簡單的服務(wù)器取證入門
檢材：https://pan.baidu.com/s/1T_OBlqe–7C-sfYhYyMZjQ?pwd=8e19

1、系統(tǒng)的內(nèi)核版本

3.10.0-693.el7.x86_64

2、系統(tǒng)的歷史命令第32條

rm WhatsNew.txt

3、SSH服務(wù)的開放端口

對鏡像進(jìn)行仿真

• 使用火眼來仿真，系統(tǒng)默認(rèn)的網(wǎng)絡(luò)接口配置文件是BOOTPROTO=static，也就是靜態(tài)IP地址。

  • 做題的時(shí)候要改為dhcp，這題的網(wǎng)絡(luò)接口配置文件在 /etc/sysconfig/network-scripts/ifcfg-ens33，一般也是在/etc/sysconfig/network-scripts目錄下 ； 虛擬機(jī)的網(wǎng)絡(luò)適配器是僅主機(jī)模式下

  

  成功變成動(dòng)態(tài)的IP

  

  • 或者在VM的 編輯 --> 虛擬網(wǎng)絡(luò)編輯器 --> 都改成110的同網(wǎng)段 ；虛擬機(jī) --> 設(shè)置 --> 網(wǎng)絡(luò)適配器 --> NAT模式 ；改為dhcp

  
  

  

  下圖就是BOOTPROTO=static，靜態(tài)IP

  

• 使用美亞的仿真，系統(tǒng)默認(rèn)的網(wǎng)絡(luò)接口配置文件是BOOTPROTO=dhcp，就不用進(jìn)行更改了

netstat -lnpt

端口也知道了，就可以進(jìn)行ssh連接

2222

4、寶塔面板的用戶名

root

5、寶塔面板的端口號

上圖

8888

6、面板上的網(wǎng)站域名

ypzxw.local

7、面板是否開啟了SSL服務(wù)

這里進(jìn)行寶塔的登錄，只知道用戶名是root，不知道密碼，加上寶塔的版本是舊版本，使用以下的命令進(jìn)行改密碼，改為123456

cd /www/server/panel && python tools.py panel 123456

進(jìn)入寶塔面板，在網(wǎng)站中能找到SSL服務(wù)

否

8、面板別名是什么

控制面板

9、系統(tǒng)所使用的web服務(wù)是什么

netstat -lnpt

nginx

10、網(wǎng)站所用的mysql服務(wù)版本（x、x、xx）

5.6.37

11、網(wǎng)站數(shù)據(jù)庫名稱

ypzxw

12、接上問，數(shù)據(jù)庫root密碼是什么

在終端中修改數(shù)據(jù)庫root密碼的命令

cd /www/server/panel && python tools.py root 123456

b86551ee7ffc7eb5

13、網(wǎng)站管理員賬號用戶名

admin

14、網(wǎng)站默認(rèn)端口

80

15、登錄網(wǎng)站的密碼加密鹽值是否固定，若固定，請給出鹽值

Tip：加密鹽值

MD5（'密碼' + 'salt(鹽值)' ）= '密文'

也有可能是SHA加密的方式

要做這題就要分析源代碼了

結(jié)合題目使用了加鹽的方式，得知關(guān)鍵詞salt

用火眼的全局搜索

知道了關(guān)于這個(gè)代碼的文件/www/wwwroot/includes/functions.inc.php

對加密方式進(jìn)行分析

/**
 * generates password hash
 *
 * @param string $pw
 * @return string
 */
function generate_pw_hash($pw)
 {
  $salt = random_string(10,'0123456789abcdef');
  $salted_hash = sha1($pw.$salt);
  $hash_with_salt = $salted_hash.$salt;
  return $hash_with_salt;
 }

鹽值是從0123456789abcdef中隨機(jī)抽取10個(gè)，所以加密鹽值是不固定的

不固定

16、網(wǎng)站帖子總數(shù)為多少

登錄后臺(tái)進(jìn)行確認(rèn)

首先要設(shè)置hosts文件，路徑：C:\Windows\System32\drivers\etc，
在最后加上一行

[IP] [域名]

這里的后臺(tái)頁面不是要找到某一個(gè)目錄，用掃描軟件是行不通的，要直接登錄管理員賬號；

從第15題里分析的那段加密代碼下面就是驗(yàn)證密碼的方式了，驗(yàn)證密碼的方式是哈希值的比對

/**
 * checks password comparing it with the hash
 *
 * @param string $pw
 * @param string $hash
 * @return bool
 */
function is_pw_correct($pw,$hash)
 {
  if(strlen($hash)==50) // salted sha1 hash with salt
   {
    $salted_hash = substr($hash,0,40);
    $salt = substr($hash,40,10);
    if(sha1($pw.$salt)==$salted_hash) return true;
    else return false;
   }
  elseif(strlen($hash)==32) // md5 hash generated in an older version
   {
    if($hash == md5($pw)) return true;
    else return false;
   }
  else return false;
 }

管理員的密碼似乎難以破解，這時(shí)我們可以直接改源碼

這段代碼的意思是將輸入的密碼加密成哈希值然后和后臺(tái)數(shù)據(jù)的哈希值進(jìn)行比對，一樣才能成功登錄

這里改驗(yàn)證的源碼方法有兩種：

1. 把true改為false
2. 把==改為!=

或者是

接下來就可以隨意的輸入密碼了

查看帖子數(shù)和注冊用戶

34

17、網(wǎng)站總共有多少注冊用戶

3481

18、管理員性別

看身份證倒數(shù)第二位，偶數(shù)是女性，奇數(shù)是男性

女性

19、該網(wǎng)站共投資多少元

就是要計(jì)算表m_userinfo中字段investment的總和

SELECT SUM(investment)
FROM m_userinfo;

接著看后臺(tái)管理員的網(wǎng)頁投資金額是數(shù)據(jù)庫中少了8倍，以后臺(tái)數(shù)據(jù)為準(zhǔn)，所以139390000 / 8 = 17423750

17423750

20、網(wǎng)站中有一名為“坐標(biāo)江西”的書簽，請給出其創(chuàng)建時(shí)間

根據(jù)這個(gè)得知更加準(zhǔn)確的時(shí)間

2019-05-15 10:38:32

答案僅作參考，請各位師傅多多指點(diǎn)！文章來源地址http://www.zghlxwxcb.cn/news/detail-832977.html

到了這里，關(guān)于簡單的服務(wù)器取證的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！