2020长安杯Wp.md

2020长安杯Wp

原文地址：https://forensics.xidian.edu.cn/wiki/imgca2020/

既然有原文，为什么我还要写呢？

Wp说白了复盘，如果初学者没有做过那一套

你看Wp只能说知其然而不知其所以然

我在每一步上面拓展，并附上拓展资料💾

方便大家一起学习，共同进步

本人在2021-10-20号查看👀该Wp

然后没做过，也没法复现～

但是通过Wp能学到不少基础或者说是思路。

于是在我已有的知识上进行后来者的补充～

若有不当，敬请谅解～

Part1（linux）

查看内核版本

uname 可显示电脑以及操作系统的相关信息

• -a 显示全部的信息。
• -m 显示电脑类型。
• -n 显示在网络上的主机名称。
• -r 显示操作系统的发行编号。
• -s 显示操作系统名称。
• -v 显示操作系统的版本。
• --help 显示帮助。
• --version 显示版本信息。

uname -r 
uname -a 
cat /proc/version

LVM

Linux fdisk 是一个创建和维护分区表的程序

必要参数：

• -l 列出素所有分区表
• -u 与 -l 搭配使用，显示分区数目

选择参数：

• -s<分区编号> 指定分区
• -v 版本信息

fdisk -l

Nginx

• 对应的 Web 服务对外开放的端口

查看/etc/nginx/conf.d/xxx.com可知

这个就是nginx配置文件里面去看

附加firewall常用命令

systemctl status firewalld		 			#查看firewall防火墙状态
firewall-cmd --list-ports					#查看firewall防火墙开放端口
systemctl start firewalld.service			#打开firewall防火墙
systemctl stop firewalld.service			#关闭firewall防火墙
firewall -cmd --reload						#重启firewal防火墙

• 服务器共绑定域名的个数

/etc/nginx/conf.d 下面看个数就好了

IP处理

根据实际情况来说，犯罪嫌疑人（或者正常工作）为了上线方便，一般都会使用docker容器，直接放上去跑起来就行了。

• 所在的服务器的原始 IP 地址
• 嫌疑人登录使用的 IP 地址

Linux last 命令用于显示用户最近登录信息

last -n 5 -a -i

# 意思就是查看5个的全部信息+ip

• 转发的后台网站所使用的 IP 地址

docker run -it ubuntu /bin/bash

• -i: 交互式操作。
• -t: 终端。
• ubuntu: ubuntu 镜像。
• /bin/bash：放在镜像名后的是命令，这里我们希望有个交互式 Shell，因此用的是 /bin/bash。

参考链接🔗

# 启动docker服务
systemctl start docker
# 查看所有的容器命令
docker ps -a
# 进入容器
docker exec -it 容器id /bin/bash
# 查看历史记录
history
# 看下配置文件
etc/nginx/conf.d/h1.conf
# 要退出终端，直接输入 
exit

• 查询nginx日志位置

# 查询nginx.conf 配置文件位置
find / -name nginx.conf
# 编辑/查看配置文件
vim /path/to/nginx.conf
# 找到access.log/error.log
# 在normal模式下按下/即可进入查找模式，输入要查找的字符串并按下回车。 
# Vim会跳转到第一个匹配。按下n查找下一个，按下N查找上一个
/error.log\c  # 查找error.log并且大小写不敏感

如果在docker里面

# 查询日志
docker logs 容器id
# 统计次数
docker logs 容器id | grep 192.168.99.222 | wc -l

Part2（windows）

这个的检材密码在patr1

原始磁盘 SHA256 值

参考链接🔗

• certutil -hashfile yourfilename.ext MD5

• certutil -hashfile yourfilename.ext SHA1

• certutil -hashfile yourfilename.ext SHA256

OS内部版本号

参考链接🔗

他说的仿真一下 意思就是跟你平时看正常的window是一样的步骤

然后步骤我就贴在上面了上👆

最后一次正常关机的时间

检材详细信息🔎

VMware 程序的安装时间

这里我提供一个我看到的思路

• systeminfo
• win + R 输入regedit 进入注册表管理
• 路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\installDate
• 提取到的十进制键值，转到时间转换网址

Vmware.exe 程序启动次数

我还是看不出来用了什么软件

自己找了个

C:\Windows\prefetch 一般存的是软件记录

Prefetch工具获取Prefetch文件下的程序，直观看到使用过的程序

• 这里补充一个拓展

事件保存的位置：C:\windows\system32\winevt\Logs

日志分析工具LogParser

下载地址👈

该端口上运行的进程的程序名称

ps aux
-a 显示现行终端机下的所有程序，包括其他用户的程序
-u 　 以用户为主的格式来显示程序状况
-x 　 显示所有程序，不以终端机来区分

ps axo pid,comm,pcpu # 查看进程的PID、名称以及CPU 占用率
ps -u root # 显示指定用户信息
ps -efL # 查看线程数
ps -e -o "%C : %p :%z : %a"|sort -k5 -nr # 查看进程并按内存使用大小排列
ps -ef # 显示所有进程信息，连同命令行
ps -ef | grep ssh # ps 与grep 常用组合用法，查找特定进程
ps -C nginx # 通过名字或命令搜索进程
ps aux --sort=-pcpu,+pmem # CPU或者内存进行排序,-降序，+升序
ps -f --forest -C nginx # 用树的风格显示进程的层次关系
ps -o pid,uname,comm -C nginx # 显示一个父进程的子进程
ps -e -o pid,comm,etime # 显示进程运行的时间
ps -aux | grep named # 查看named进程详细信息
ps -o command -p 91730 | sed -n 2p # 通过进程id获取服务名称

访问该网站时，所使用的域名

这个玩web久了就知道了

C:\Windows\System32\drivers\etc\hosts下面看看就行了

分析手机备份

软件暂时没接触过，以后来写

虚拟机密码

• 复制虚拟机的.vmx文件进入,改名为1.vmx---(方便打字,可不做)
• pyvmx-cracker 破解VMware VMX加密密码的简单工具
• 输入命令 python .\pyvmx-cracker.py -v 1.vmx -d wordlist.txt
• 拿到虚拟机的密码

Win7密码

上面说的是：使用火眼打开vmdk文件,仿真绕过开机密码,可是复现的时候没成功

先贴上官方网站 ，软件很专业

然后自己动手找了点法子，参考链接🔗

• 已知在虚拟机中打开Win与kail的话是处于相当于局域网中的
• 直接kali扫描C段 nmap -sT -p3389 192.168.121.1/24
• 找到存活主机对应的ip
• 使用hydra爆破 hydra -L user.txt -P password.txt rdp://192.168.121.136:3389
• kali远程登录: rdesktop 192.168.121.136

当然直接到另一边登录上去取证就好了

Part3 （windows server）

完全没玩过（使用过）windows server

是我肤浅了（bushi

Part4 （Part3 的后台）

直接看Wp吧

我看了之后总结几点吧

• 首先你得会Part3，或者能拿到数据库的Ip地址
• 最难的是数据库的复现
• 复现之后呢，说白了就是在本地搭建了一模一样的数据库
• 然后Part4取证主要是分析数据库
• 然后呢～可以使用点数据库管理工具是不错的吧
• 然后Wp写的挺不错了～

我是菜鸡🫑～

最后祝大家在比赛与实践中取得好成绩～

芜湖～起飞🛫️！