原创 数据取证杂谈 数据取证杂谈
微信号 DigitalForensic
功能介绍 电子数据取证杂谈
__发表于
收录于合集
#电子数据取证 19 个
#服务器 4 个
2023年7月 上海某地公安对一个线上赌博平台展开打击,在抓捕行动中成功抓获涉嫌搭建平台的技术人员 (张某) 及平台的运营人员 (钱某),据审讯得知,张某在网络上售卖各类非法网站源代码并提供搭建服务,在其住所缴获了涉案小米手机一部,涉案计算机一台,及远程链接服务器三台,请分析现场制作的多个镜像并回答以下问题。
1
|
snap-c08mhcyc.qcow2
|
堡垒机
---|---|---
2
|
服务器2-1.E01
|
菠菜网站
3
|
服务器2-2.E01
|
菠菜网站
4
|
服务器3.zip
|
测试网站
请对服务器镜像进行分析,并回答以下问题:
1.堡垒机共绑定了几台资产?[答案格式:123]
2
仿真snap-c08mhcyc.qcow2
ifconfig查看网络信息,ifup eth0没启动起来
报错mac地址不一样
修改eth0配置
vi /etc/sysconfig/network-scripts/ifcfg-eth0
删掉HWADDR
service network restart
重启网络服务
ip addr 或ifconfig出现ip地址
systemctl status sshd 拿到ssh端口
history查看,发现安装了jumpserver
查询官方开发文档
https://docs.jumpserver.org/zh/v3/installation/setup_linux_standalone/online_install/#1
#启动jumpserver
cd /opt/jumpserver-installer-v3.1.2
./jmsctl.sh start
#环境访问
地址: http://<JumpServer服务器IP地址>:<服务运行端口>
端口 cat /opt/jumpserver/config/config.txt
使用默认账户: admin/admin登陆,* 您输入的用户名或密码不正确,请重新输入。您还可以尝试 7 次(账号将被临时 锁定 30 分钟)
#重置密码
docker exec -it jms_core /bin/bash
cd /opt/jumpserver/apps/
python manage.py changepassword admin
2.资产中系统平台为“Windows”的机器的密码是多少?[答案格式:123456abcdefg!@#]
94f([xKY{^B/=d5W
资产账号列表-查看
提示需要开启MFA认证若MFA绑定失败请同步时间
ntpdate time.stdtime.gov.tw;
3.该jumpserver中记录的第一个连接令牌创建时间是?[答案格式:1999-01-01 00:00:00.123456]
2023-04-11 15:11:36.158593
网页中没有记录
去数据库查看
mysql密码在/opt/jumpserver/config/config.txt
docker exec -it jms_mysql /bin/bash
mysql -u root -p
use jumpserver;
SELECT date_created FROM `authentication_connectiontoken` ORDER BY date_created ASC LIMIT 0,1;
4.瀚华金控管理系统的后台地址是?[答案格式:http://woaiQAX.com/qax/qax.html]
http://houtai.com/admin/index/index.html
仿真检材2
bt发现有宝塔面板
bt14 查看面板信息
bt 5 修改密码
进入发现三个网站,启动,修改本地hosts,导入数据库备份,访问
修改数据库配置
默认进入http://houtai.com/home/login/index?
查看源码目录 admin和home在同一级
改为http://houtai.com/admin//login/index?,访问,得到答案
5.使用该后台加密方式对字符串“QAXNN”进行加密,写出加密后的密文?[答案格式:e10adc3949ba59abbe56e057f20f883e]
2a9fd5a7d341b68ffbae469fd3a22c91
这题需要找到登录加密方式
查看源码
查找UC登录接口
echo md5(sha1('QAXNN') . 'tnm0xbjvo)<O.:CZsF&74_~[@U,dMq%yJ>]P=pSV');
哪一天哪个用户投注的最多?[答案格式:1999-01-01,123456,123456.00]
2021-05-08,2349,4542000.00
SELECT DATE(FROM_UNIXTIME(time)) AS date, uid, SUM(money) AS total_bet
FROM jj_order
GROUP BY date, uid
ORDER BY total_bet DESC
LIMIT 1;
6.前台中“客服”模块所用的图片源文件SHA256值是多少?[答案格式:8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92]
b46bbc4af4bf33a21db4c8a08e280ac3a049ed8665a072d2ece06af14009fb13
看下前台用户账号密码,一眼123456的md5
直接登
图片另存到本地,算下哈希
7.嫌疑人搭建了一个测试站,该虚拟机密码多少?[答案格式:123456]
159753
解压检材3,发现是虚拟机,双击vmx打开
有加密,使用pyvmx-cracker爆破
https://github.com/swanQs/pyvmx-cracker
pyvmx-cracker.py -v xxx.vmx -d wordlist.txt
8.其所在Ubuntu服务器版本是多少?[答案格式:11.11]
16.04
9.测试后台的两个启动脚本文件的SHA256值?(备注,文件名短的值写在前面) [答案格式:哈希1,哈希2]
2cfa0c675112502b26e80c2556111faa11015006681ef6a81c60d87df0a371e6,1dfa76dd79f31d1327cdc683b6589911137c9a9e340f26de4d216b25682957d4
拿到虚拟机密码后并无开机密码,可以选择恢复快照,也可以移除保护密码,用取证工具分析
快照可以看到已经进入了桌面,直接恢复即可
找到脚本计算即可,不赘述
10.该测试后台的端口是?[答案格式:1111]
9600
有正在运行的脚本,直接查看即可
11.后台中“注单查询”模块一共可以查询几个游戏?[答案格式:1111]
3
登录后台,需要账号密码,浏览器保存的账号密码都是错的,直接看数据库
登录即可
12.后台自定义用户层级中,人数大于2000的共几层?[答案格式:1111]
9
13.后台用户中,银行开户地在上海,且直接下级用户超过3人的用户共计多少个?[答案格式:123]
53
SELECT COUNT(DISTINCT tu.user_id) AS user_count
FROM tb_user tu
JOIN (
SELECT parent_id, COUNT(DISTINCT user_id) AS sub_user_count
FROM tb_user
GROUP BY parent_id
HAVING sub_user_count > 3
) tsub ON tu.user_id = tsub.parent_id
JOIN tb_user_bank tub ON tu.user_id = tub.user_id
WHERE tub.bank_address LIKE '%上海%';
14.后台正使用收款卡卡号为?[答题格式123456789123456789]
6217857600061987041
预览时标签不可点
微信扫一扫
关注该公众号
知道了
微信扫一扫
使用小程序
取消 允许
取消 允许
: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看