2021第三届长安杯检材三复盘
22、检材三的原始硬盘的SHA256值为:
205C1120874CE0E24ABFB3BB1525ACF330E05111E4AD1D323F3DEE59265306BF
23请分析第21题中,所指的服务器的开机密码为:【答案:honglian7001】
取证的题目也不能完全按部就班的做题,要结合所有检材来分析
根据后续的检材四对pc的分析 嫌疑人使用xshell连接到服务器查看其连接日志。
查看该文件:找到bt命令修改密码的代码逻辑,发现当我们用bt命令输入5之后,其修改逻辑调用了set_panel_pwd(input_pwd.strip(),True)函数,进而查找该函数发现当我们修改宝塔面板密码的时候调用了public类中的password_salt方法,猜测这里跟密码的salt值有关
在面板目录中的class口录下,发现了public.py文件,查看该文件,找到了密码的加盐算法,盐值为一个12为随机数,分析发现该上面两个文件都(import db)导入了db,查找发现了default.db文件位于宝塔面板工作目录下的data目录中,为sqlite数据库,使用工具查看该文件,在user表中发现了宝塔默认用广的加密密码盐值wrZdlxSmbxFL
24、 嫌疑人架设网站使用了宝塔面板,请问面板的登陆用户名为:【答案】:hl123
在打开宝塔面板的时候出现了一些问题,因为虚拟机配置的网卡是静态的,需要对网络配置进行一些修改才能从本机连接到宝塔的登录面板。
这里记录下对于网络配置的一些记录
对虚拟机的网络配置,我这里采用的是仅主机模式,注意这里的网卡Vmnet1
对本机的网卡也需要进行配置
将镜像仿真起来
- bt
- bt default
25、 请分析用于重置宝塔面板密码的函数名为【答案:set_panel_pwd】
尝试登录了几次发现密码不队,新版本的宝塔可以重置密码
输入bt
分析宝塔的相关文件 进入其配置文件夹
wwwlogs 这是网站访问日志,一般有错误日志,和成功访问日志。如果访问量大 那么访问日志会比较大。
wwwroot 网站文件
server 服务器面板
server 这个应该主要是宝塔内容。子目录主要跟安装了多少软件有关。
cron, 应该是计划任务。 没有扩展名,就是任务脚本。还有个文件就是计划任务的执行日志。
data,看起来像 mysql 等数据库的数据文件。
monodb ,mysql 数据库程序。
nginx,php 等。好几个文件里有 perl 脚本文件。当然还有更多的 python 文件。
/www/server/panel
还有个 panel 文件夹。看起来是宝塔面板代码。
pannel 的子文件夹有
btpanel, 面板
里面还有界面模板,/www/server/panel/BTPanel/templates/default
里面有面板界面上点击操作的代码,如果想魔改界面,也许就是优化这个文件夹。
backup
class
config,配置
data,里面看起来杂
install,安装脚本。有安装 nginx 的,还有就是安装 php 扩展。如果要给 nginx,php 等加模块,也许要修这里再编译。
package ,这里是一键安装的软件程序,php 程序。
plugin 是软件商店的三方插件。如果能写一个,再注册到面板菜单,应该也能显示出来。
rewrite 里宝塔预设的网站的重写规则,伪静态等。有 apache 和 nginx 两目录。
/www/server/panel/script
script,各种脚本backup backup.py GetOS.sh logsBackup rememory.sh
backup_alioss.py ftp.sh install.sh logsBackup.py
ssl 证书文件
vhost 是网站的配置文件。
找到其处理命令编号5的代码段 发现其调用了一个函数 , 找到其处理命令编号5的代码段 发现其调用了一个函数
26.请分析宝塔面板登陆密码的加密方式所使用的哈希算法为【答案:md5】
继续分析代码,登录密码使用的加密方式为MD5
27、请分析宝塔面板对于其默认用户的密码一共执行了几次上题中的哈希算法
上题中的哈希算法
接上题导出上题的tools.py文件进行分析,没有找到定义的类在宝塔的配置文件中/www/server/panel/class class文件夹中有一个public.py的文件 推测可能跟这里的类有关 分析一下 搜索password salt等值找到定义的函数
发现其进行了两次md5加密 再加上其之前的一共进行了3次md5加密。
28、 请分析当前宝塔面板密码加密过程中所使用的salt值为【答案:v87ilhAVumZL】
在分析宝塔的配置文件的时候找到了一个数据库文件
/www/server/panel/data
在该路径下找到一个default.db的数据库文件
使用navicat打开这个数据文件
在user表中找到salt值
29、 请分析该服务器,网站源代码所在的绝对路径为【答案:/www/wwwroot/www.honglian7001】
进入宝塔面板,站点处查看到网站路径
30、 请分析,网站所使用的数据库位于IP为()的服务器上(请使用该IP解压检材4,并重构网 站)【答案:192.168.110.115】
分析网站的数据库ip则要从网站的配置文件开始分析,分析网站的源代码。在宝塔里面可以清晰的看到网站的源代码。
在app文件夹中找到了database.php的文件
2021第三届长安杯检材三复盘相关推荐
- 2021第三届长安杯
检材一 2021年4月25日,上午8点左右,警方接到被害人金某报案,声称自己被敲诈数万元.经询问,昨日金某被嫌疑人诱导裸聊,下载了某"裸聊"软件,导致自己的通讯录和裸聊视频被嫌疑人 ...
- 2022第四届长安杯检材一wp
2022长安杯案情背景:某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗,该网站号称使用"USTD币"购买所谓的"HT币",受害人充值后不但 "H ...
- 第三届长安杯解析(2次修订版)镜像+具体解析+个人详细解题过程,涉及多个模块,我会努力把所有写好,可以做一下题目,提升很明显。
第一次写的太烂了,看到其他大佬写的我很羞愧,所以努力修订. 长安杯链接: 链接:https://pan.baidu.com/s/1PIJpKRpn5H94_bxbOJIO0w?pwd=ybww 提取码 ...
- 2021年长安杯电子数据取证大赛
- 2022第四届长安杯复盘(WP)
2022长安杯案情背景:某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗,该网站号称使用"USTD币"购买所谓的"HT币",受害人充值后不但 " ...
- 2021长安杯再做--wp
笔记中缺少了网站重构的具体内容,还会再补. 笔记中标黄的是认为比较有价值的题目,其后的一些基础知识可以进一步进行学习. 1 请计算检材一Apk的SHA256值 3fece1e93be4f422c844 ...
- 2022第四届长安杯wp
目录 背景 检材一 1. 检材1的SHA256值为 2. 分析检材1,搭建该服务器的技术员IP地址是多少?用该地址解压检材2 3. 检材1中,操作系统发行版本号为 4. 检材1系统中,网卡绑定的静态I ...
- 2022第四届长安杯电子取证竞赛 服务器赛时思路题解 Zodi4c
2022 长安杯 服务器赛时做题思路备忘 Zodi4c VC容器密码为:2022.4th.changancup! 我赛时的做题思路和关心老师的讲解基本一致,只是没了上帝视角,本人只开了服务器,所以案件 ...
- 2022长安杯的网站重构及部分题解
这里只对2022长安杯的网站重构过程进行记录 首先看检材一里的历史命令 这里只截取部分 从历史命令可以看出,他执行了很多次start_web.sh和npm run dev 且这个网站的服务就是用那几个 ...
最新文章
- mysql phpwind_【phpwind教程:Linux Apache php MySQL GD PHPWind 集成环境配置】-phpwind教程-【零度中国】...
- Android软键盘调用及隐藏,以及获得点击软键盘输入的字母信息
- 把HTML转成PDF的4个方案及实现方法
- 【问链财经-EOS公开课】 第十九课 EOS存储之IPFS
- 转载---SQL Server XML基础学习2之--FOR XML AUTO/RAW
- 31 socket客户端. 服务器 异常 语法
- mongdb 群集_通过对比群集分配进行视觉特征的无监督学习
- 一个javascript框架应有的功能
- 京东抢购助手_[Windows] 京东极速抢购助手V2.0,支持京东健康+扫货抢购
- 如何给mac地址赋值_交换机工作基础——MAC地址表的构成与安全
- 【原】 图片预览 Image preview
- “离开 360 时,它只给了我一块钱”
- 多表连接的三种方式 HASH MERGE NESTED
- Python开发Day07(学生选课)
- java 死链检测_网站死链检测工具/网站地图生成工具
- overleaf 公式_Latex的公式输入
- SpringBoot之自定义starter
- 【前端学习】ES6语法 函数写法优化
- 实验4-1-12 黑洞数
- vue打印数据,可分页打印