| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 系统运维 -> 2020第二届长安杯 -> 正文阅读 |
|
[系统运维]2020第二届长安杯 |
检材一案情简介:接群众举报,网站“www.kkzjc.com”可能涉嫌非法交易,警方调取了该网站的云服务器镜像(检材 1.DD), 请对检材 1 进行分析,获取证据,并根据线索解锁更多检材,深入挖掘出更多与案件有关的信息。
D
3.10.0
2099200
32000 连接网探 ip a查看ip地址 192.168.175.128 ssh端口是7001,nginx可能是30000、31000、32000 直接搜索www.kkzjc.com,能找到相关文件,直接打开就是,历史命令里面也有more /etc/nginx/conf.d/www.kkzjc.com的出现
3 上题那个域名找到后上一级文件夹下有3个域名文件
192.168.99.3 历史命令里确实有过配置ip 在检材2中能发现代理登录的痕迹,原始url应该就是192.168.99.3
192.168.99.222 查看登录日志 并且在检材2中也发现了踪迹
192.168.1.176 在第4题的文件中还见到了一个8091的端口没有被调用 systemctl start docker开启docker systemctl status docker确认docker是否启动 再次查看netstat,8091端口已启动 docker ps查看所有容器,加个-a查看正在运行的 docker exec -it 容器名/容器ID /bin/bash进入容器,查看历史命令 第一个命令就是,192.168.1.176
17(自己得到的是18) 嫌疑人代理登录的端口是8091,开启docker后才开的端口,所以访问日志应该在docker日志里面 docker logs -f sever1 | grep -c 192.168.99.222 docker logs -f 容器ID查看容器日志,grep -c匹配符合条件的行数 18个,跟官方wp给的17个不一样,不知道为啥? 检材二
警方找到了嫌疑人使用的个人
PC
(检材
2.zip
),请使用第
7
题的答案作为密码解压检材
2
,分析并回答下列问题:
解压密码:192.168.99.222
2D926D5E1CFE27553AE59B6152E038560D64E7837ECCAD30F2FBAD5052FABF37 原始磁盘和镜像的哈希值不同,国庆社团考的是镜像哈希,错了好多 镜像用fhash把E01整个拖进去计算,它更大,原始磁盘用取证软件
18363.1082 仿真后win+r,输入winver
2020-09-22 13:15:34
2020-09-18 17:54 我原来把这个当作安装时间但是不对 这个是对的
6
8091
docker-proxy 上看第8题
www.sdhj.com 同15题图
sstt119999? 电脑里搜了一下没有微信,应该是有手机的镜像,在用户访问痕迹中找到了手机的镜像
Telegram?
dogecoin
DPBEgbwap7VW5HbNdGi9TyKJbqTLWYYkvfDPBEgbwap7VW5HbNdGi9TyKJbqTLWYYkvf? 上题收款码图上直接就有
2020-09-20 12:19:46
4000 狗狗币那个查询网站登不上去
zzzxxx pyvmx-crack-master工具解密,密码是zzzxxx,解密后发现在虚拟机里无法启动虚拟机,先移除加密,再把这个拖到真机上,进行分析
cc7ea3ab90ab6b28417e08c715c243ce58ea76d71fd141b93f055a58e9ba561a? 在最近访问的项目中找到了该图片,虚拟机中还原
2020-09-20 12:53
honglian7001
xshell
qwer1234!@#$? 见上题图 检材三
请使用第
8
题的答案作为密码解压检材
3
,分析并回答下列问题
解压密码:192.168.1.176
FF593FCCB3770B8845A3334631F8E80807638EE722C5AA7B34E877589857C3BA
C
card
C:\inetpub\wwwroot\v7w
80
见33题图
dllogin.aspx 在网站的文件夹下找到了一个login的文件夹,点击浏览? 发现里面是dllogin.aspx,打开看就是
OvO
App_Web_dllogin.aspx.7d7c2f33.dll 把网站根目录导出,搜索一下
AESEncrypt 用dnspy对login的动态拓展库App_Web_dllogin.aspx.7d7c2f33.dll进行进行反编译dnSpy反编译工具官方下载_dnSpy反编译工具最新6.1.8免费下载_3DM软件 (3dmgame.com) 登录的网址最后是dl? 网站的目录是C:\inetpub\wwwroot\v7w,在Web.config配置文件中可以找到dl重定向为/dr/login/dllogin.aspx 在dr_login_dllogin中找到加密过程
192.168.1.174 dr_login_dllogin中数据库有关的函数是DUserLogin 点一下转到WDUser? 点DBcon类转到DBcon里面 AESDecrypt解密
第一条命令将DBManager文件中定义的类型添加到当前会话中,使用path指定源文件 第二条命令调用DBManager库的Encryption类的AESDecrypt的静态方法,用双冒号指定类的静态成员 server=192.168.1.174,1433;uid=sa;pwd=c4f2737e88;database=v7sq3;
c4f2737e88
1433
检材四重构网站 1、配置检材四服务器的网络 2、连接数据库 3、登录网站
检材四仿真后发现无ip,很多命令都没有 网站连接的数据库地址是192.168.1.174,把静态ip改成这个
?改前 修改BOOTPROTO=dhcp为static,并且将ONBOOT=no改为yes 重启网卡 service network restart 配置完成 更改主机的VMnet8 更改虚拟网络编辑器 关闭DHCP服务? 双向能ping通,配置成功!太感人了呜呜呜 ?检材三的虚拟机IP是192.168.1.176.能ping通检材二 win+r输入services.msc,启动服务,服务器有了
历史命令中有很多docker相关的 开启docker:systemctl start docker,启动容器:docker start sql1,进入容器:docker exec -it sql1 /bin/bash,数据库有了 ?navicat连接sqlserver时报错,未发现数据源名并且未指定默认驱动程序(0),下载sqlncli_x64.msi并安装,下载链接https://www.microsoft.com/zh-cn/download/confirmation.aspx?id=50402,安装具体过程可参考这个Navicat Premium 15连接sqlserver报错:未发现数据源名并且未指定默认驱动程序(0)_wbddds的博客-CSDN博客_sqlncli_x64.msi server=192.168.1.174,1433;uid=sa;pwd=c4f2737e88;database=v7sq3; 连接成功!
分析数据库中的PD_UserLogin函数
可以看出,账号和密码都在TD_User中并且DU_ISDel=0,访问的ip在DW_Web表中才能访问 把检材三的ip加入,防止限制ip TD_User表中admin的DU_ISDel=1,登不上,liwente1314520能登录 且嫌疑人使用的账号是liwente1314520,账号就是他,可以看到加密后的密码是A210F6EA35F2EFD016D2DB1811434909 这个密文md5解不出,只能修改密码了? 修改密码为123456,根据前面分析的过程
得到密文后修改表中的值 ??????? 还有一种方法是随便输入登录名和密码,发现登录之后弹窗用户名或密码错误 反编译App_Web_dllogin.aspx.7d7c2f33.dll 编辑类,把“用户名或密码错误”改为text2,输入密码后就会弹窗加密后的密码,直接把密文放进数据库中,把修改后App_Web_dllogin.aspx.7d7c2f33.dll覆盖检材三原网站中的文件,重启服务和sql1容器,就行了(我的虚拟机不知道为什么VMware Tools就是安装不上,覆盖都没办法)
192.168.1.176/dl进入网站,账号liwente1314520密码123456 成功登录 请使用第 39 题的答案作为密码解压检材 4,分析并回答下列问题
E5E548CCAECD02608A0E053A5C7DCDBFBDD4BE5B0E743EB9DC8E318C369BEBC8
http://www.xxxx.com:8787/reg?id=abe6d2ee630379c3
26 ?
32
138408
2829
直接筛选? ?
1066449
点击后台会发现找不到ip,前面补上192.168.1.176/就行了?
d0fdd7a9a010d37e
2016-09-05?17:09:13
注册信息是2016-09-05?17:09:13
看登录日志时间不同,不知为何 |
|
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 | -2024/11/15 6:13:45- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |