检材提取码: 43a3
哈希校验值: SHA256值:ecaa103be811c15491066fe881a00109df1df83402682235ce738539c64c3723
挂载/解压密码: 2024Fic@杭州PoweredbyHL!
题目简介
2024年4月,卢某报案至警方,声称自己疑似遭受了“杀猪盘”诈骗,大量钱财被骗走。卢某透露,在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏,起初资金出入均属正常。但随后,李某称赌博平台为提升安全性,更换了地址和玩法,转为通过群聊抢红包形式进行赌博。随着赌资不断增加,卢某投入巨额资金后,发现无法再访问该网站,同时李某也失去联系,卢某遂意识到自己被骗。
在经济压力下,卢某选择报警,并承认参与赌博活动,愿意承担相应法律后果。警方依据卢某提供的线索和手机数据,迅速锁定犯罪团伙,并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。警方对嫌疑人持有的物品进行了证据固定:李某手机被标记为检材1,窝点内服务器为检材2,赵某使用的计算机为检材3。
接下来,请取证工作者根据案情和这些检材进行深入分析,并解答后续问题。
服务器
这个服务器只能直接ssh和web端
仿真后改为NAT
根据下述更改服务器配置
配置网卡,ssh连接成功
1. ESXi服务器的ESXi版本为?
答案:6.7.0
重建时发现
6.7.0
vmware -v
2. 请分析ESXi服务器,该系统的安装日期为:
答案:2024 年 3 月 12 日 星期二 02:04:15 UTC
访问web端
找到安装日期
2024 年 3 月 12 日 星期二 02:04:15 UTC
3. 请分析ESXi服务器数据存储“datastore”的UUID是?
答案:65efb8a8-ddd817f6-04ff-000c297bd0e6
4.ESXI服务器的原IP地址?
答案:192.168.8.112
配置前默认为此
5.ESXI服务器中共创建了几个虚拟机?
答案:4个
6. 网站服务器绑定的IP地址为?
答案:192.168.8.89
找到一个www虚拟机,启动发现要密码,需要先做下一题
得到qqqqqq的密码后
登录找到ip
7. 网站服务器的登录密码为?
答案:qqqqqq
计算机题
找到一个Commonpwd.txt 利用这个字典去爆破
qqqqqqhydra -l root -P passwd.txt -t 2 -vV -e ns 192.168.8.89 ssh
访问后台
8.网站服务器所使用的管理面板登陆入口地址对应的端口号为
答案:14131
发现管理工具为宝塔
连接后使用宝塔连接
改密码
9. 网站服务器的web目录是?
答案:/webapp
webapp找到
10. 网站配置中Redis的连接超时时间为多少秒?
答案:10
感觉不像答案,下载源码
jadx反编译
配置文件application.yml
11. 网站普通用户密码中使用的盐值为?
答案:!@#qaaxcfvghhjllj788+)_)((
查看代码
可以搜索password,也可以通过架构,找到ruoyi.Usercontroller
12. 网站管理员用户密码的加密算法名称是什么
答案:bcrypto
注意这里是管理员,不能直接直接按照上述
选择题可以直接搜索找到加密方法
也可以在com.ruoyi.common.utils.SecurityUtils中找到
13.网站超级管理员用户账号创建的时间是?
答案:2022-05-09 14:44:41
开始重构网站,这种数据应该在数据库中,data虚拟机就是我们需要的
接口异常,应该是数据库连接有问题
在宝塔面板中可以看到数据库的位置在192.168.8.142
使用hydra爆破data虚拟机的密码,为hl@7001
数据库连接
数据库连接找到docker,mysql应该在里面
systemctl start docker
docker ps -a找到mysql
启动mysql
成功启动mysql
接下来本地连接,根据宝塔的面板
14. 重构进入网站之后,用户列表页面默认有多少页数据?
答案:877
这里密码错误,需要更改jar包
根据计算机中的VC容器中的运维笔记修改一下项目
数据库ip & mysql连接密码
data虚拟机的ip: 192.168.8.142
mysql连接密码: JnzssCCsp2NCpcjA
在www虚拟机中提取出ruoyi-admin.jar的配置文件
1 | cd /webapp |
使用vim命令修改
1 | vim BOOT-INF/classes/application-druid.yml |
将数据库地址修改为data虚拟机的ip,密码修改成宝塔面板中的密码
更新配置文件到jar包内
1 | jar uf ruoyi-admin.jar BOOT-INF/classes/application-druid.yml |
1 | [root@localhost webapp]# jar xf ruoyi-admin.jar BOOT-INF/classes/application.yml |
将redis host改为127.0.0.1
登录限制,添加本机登录ip
不用更改
定时任务插件
修改sys_job表中的定时任务设置,将任务触发时间修改正确。
登录
使用命令java -jar /webapp/ruoyi-admin.jar启动jar包,此时即可用浏览器访问192.168.8.89页面成功。
插入管理员
使用https://www.bejson.com/encrypt/bcrpyt_encode/生成一个密码
覆盖掉一个管理员用户
成功登录
用户管理-用户列表,可以看到总共有877页
15. 该网站的系统接口文档版本号为?
答案:3.8.2
16. 该网站获取订单列表的接口是?
答案:/api/shopOrder
17. 受害人卢某的用户ID?
答案:10044888
根据微信聊天线索,搜索lu123456用户,可以找到lu123456的用户id为 10044888
18. 受害人卢某一共充值了多少钱?
答案:465222
根据用户id 查找充值记录
19. 网站设置的单次抽奖价格为多少元?
答案:10
这些在数据库里也可以直接看
20. 网站显示的总余额数是?
答案:7354468.56
用户管理-用户列表-资金统计,
21. 网站数据库的root密码是?
答案:my-secret-pw
远程服务器上有
22. 数据库服务器的操作系统版本是?
答案:7.9.2009
使用命令cat /etc/redhat-release即可得到。
注意这里cat /proc/version是linux内核版本
23. 数据库服务器的Docker Server版本是?
答案:1.13.1
用docker --version查询
24. 数据库服务器中数据库容器的完整ID是?
答案:9bf1cecec3957a5cd23c24c0915b7d3dd9be5238322ca5646e3d9e708371b765
考察docker命令
使用命令docker inspect 9b 即可看到完整ID。
上面已知mysql容器9b开头
25. 数据库服务器中数据库容器使用的镜像ID?
答案:9bf1cecec3957a5cd23c24c0915b7d3dd9be5238322ca5646e3d9e708371b765
docker ps -a 得到的是容器id
辨析
1. 容器 ID
- 定义:容器 ID 是 Docker 容器的唯一标识符。每个容器在启动时都会生成一个唯一的容器 ID。
- 生成方式:容器 ID 是动态生成的,每次启动容器时都会分配一个新的容器 ID。
- 用途:用于标识和管理运行中的容器。例如,通过容器 ID 可以启动、停止、删除或查看容器的详细信息。
2. 镜像 ID
- 定义:镜像 ID 是 Docker 镜像的唯一标识符。每个镜像在构建时都会生成一个唯一的镜像 ID。
- 生成方式:镜像 ID 是静态的,一旦镜像构建完成,其 ID 就不会改变。
- 用途:用于标识和管理镜像。例如,通过镜像 ID 可以拉取、删除或查看镜像的详细信息。
26. 数据库服务器中数据库容器创建的北京时间
答案:2024-03-13 20:15:23
使用命令docker inspect 9b即可看到创建时间。
这个时间字符串是 UTC 时间,格式为 ISO 8601。要将其转换为北京时间,需要加上 8 个小时,因为北京时间比 UTC 时间早 8 个小时
转换步骤:
- UTC 时间:
2024-03-13T12:15:23.02589108Z - 加上 8 小时:将时间的小时部分加上 8。
结果:
UTC 时间:
2024-03-13 12:15:23北京时间:
2024-03-13 20:15:23
格式化后的北京时间:
2024-03-13 20:15:23
27. 数据库服务器中数据库容器的ip是?
答案:172.17.0.2
使用命令docker inspect 9b即可看到数据库容器的ip。
28. 分析数据库数据,在该平台邀请用户进群最多的用户的登录IP是?
答案:182.33.2.250
官方:223.104.51.34
找到邀请数据库
得到id=55320342
得到ip182.33.2.250
官方找的是
1 | SELECT inviter_id, COUNT(*) AS invite_count |
无法理解status的含义
29. 分析数据库数据,在该平台抢得最多红包金额的用户的登录IP是?
答案:116.62.104.130
30.数据库中记录的提现成功的金额总记是多少?(不考虑手续费)
答案:35821148.48
使用查询语句查询得到总额(数据库中备注信息,有说明status=3为提现成功)。
31. rocketchat服务器中,有几个真实用户?
答案:3
接下来是rocketchat服务器
chat聊天室在PC检材内(解锁bitlocker之后)有RocketChat账号密码信息。
1 | admin@admin.com |
访问192.168.8.128:3000/home
根据赵某的计算机Chrome浏览器记录,聊天系统应该是在3000端口上
32. rocketchat服务器中,聊天服务的端口号是?
答案:3000
浏览记录
33.rocketchat服务器中,聊天服务的管理员的邮箱是?
答案:admin@admin.com
34. rocketchat服务器中,聊天服务使用的数据库的版本号是?
答案:5.0.24
35. rocketchat服务器中,最大的文件上传大小是?(以字节为单位)
答案:104857600
在设置里找到文件上传
36.rocketchat服务器中,管理员账号的创建时间为?
答案:2024-03-14 08:19:54.951
参考如何在 Debian 10 中重置忘记的 root 密码
成功进入
第二个是mongodb数据库
先ssh连接,但是直接会认证失败,可能是root不允许ssh
1 | vim /etc/ssh/sshd_config |
去掉PermitRootLogin前的注释并修改后面的值为yes
重启ssh服务
systemctl start sshd.service
成功sshdocker inspect 92
2024-03-14 08:19:54.951
32. rocketchat服务器中,技术员提供的涉诈网站地址是:
答案:http://172.16.80.47
38. 综合分析服务器,该团伙的利润分配方案中,老李的利润占比是多少?
答案:35%
39. 综合分析服务器,该团队“杀猪盘”收网的可能时间段为:
答案:2024/3/15 16:00:00-17:00:00
40. 请综合分析,警方未抓获的重要嫌疑人,其使用聊天平台时注册邮箱号为?
答案:lao@su.com
老苏没被抓到
41. 分析openwrt镜像,该系统的主机名为:
答案:iStoreOS
最后一个虚拟机了
42. 分析openwrt镜像,该系统的内核版本为:
答案:5.10.201cat /proc/version
呼应上文
43. 分析openwrt镜像,该静态ip地址为:
答案:192.168.8.5
要看静态cat /etc/config/network
如果用ifconfig的话会查到动态
44. 分析openwrt镜像,所用网卡的名称为:
答案:eth0
45. 分析openwrt镜像,该系统中装的docker的版本号为:
答案:20.10.22
docker version
46. 分析openwrt镜像,nastools的配置文件路径为:
答案:/root/Configs/NasTools
在赵某计算机Chrome中保存了openwrt的账号密码
1 | root |
47. 分析openwrt镜像,使用的vpn代理软件为:
答案:passwall2
48. 分析openwrt镜像,vpn实际有多少个可用节点?
答案:53
第一个不是节点所以54-1=53。
49. 分析openwrt镜像,节点socks的监听端口是多少?
答案:1070
50. 分析openwrt镜像,vpn的订阅链接是:
答案:https://pqjc.site/api/v1/client/subscribe?token=243d7bf31ca985f8d496ce078333196a
