首届“盘古石杯”全国电子数据取证大赛总决赛-服务器部分
2023-6-12 09:10:59 Author: 网络安全与取证研究(查看原文) 阅读量:23 收藏

服务器取证

1.请分析服务器,给出NAS服务器系统账号密码?[答案格式:[email protected]][★★★☆☆☆]

[email protected]

2.请分析服务器,给出NAS服务器的版本信息?[答案格式:xx-xx-xx][★★☆☆☆☆]

TrueNAS-13.0-U4

3.请分析服务器,给出NAS服务器内用户SMB的邮箱?[答案格式:[email protected]][★★☆☆☆☆]

[email protected]

4.请分析服务器,给出NAS服务器系统告警服务使用的邮箱?[答案格式:[email protected]][★★☆☆☆☆]

[email protected]

5.请分析服务器,给出NAS服务器内存储池名?[答案格式:xxx][★★☆☆☆]

vol

6.请分析服务器,给出NAS服务器内有几个数据集和几个Zvol?[答案格式:0,0][★★★☆☆]

2,3

看不懂,先改语言

一个一个点更多选项看属性,统计即可

7.请分析服务器,给出该NAS服务器存储监听IP和端口?[答案格式:192.168.1.1:8080][★★★☆☆]

0.0.0.0.0:3260

8.请分析服务器,给出NAS服务器内iSCSI目标为web的连接所使用的启动器组ID?[答案格式:xx][★★★☆☆]

2

9.请分析服务器,给出web服务器连接NAS服务器所使用的iqn?[答案格式:iqn.xxx][★★★☆☆]

iqn.2005-10.org.freenas.ctl:web

10.请分析服务器,给出web服务器连接NAS服务器所使用的账号和密码?[答案格式:root/123][★★★★★]

user/202305140921

11.请分析服务器,给出redis所使用的配置文件?[答案格式:/home/1.conf][★★☆☆☆]

/etc/redis.conf

CPU开虚拟化,IP改成192.168.91.129

ro改成rw init=/sysroot/bin/sh ctrl+x后chroot /sysroot进入root,编辑/etc/selinux/config文件关闭selinux,编辑/etc/passwd文件修改root目录为/bin/bash,passwd root修改密码

12.请分析服务器,给出跑分网站后台根目录?[答案格式:/xx/xx][★★★☆☆]

www/admin.paofen.com/public;

13.请分析服务器,嫌疑人所使用的跑分系统可能来自哪,请给出网站?[答案格式:www.baidu.com][★★★☆☆]

www.98sucai.com

mount /dev/sdb1 /www

14.请分析服务器,给出数据库root账号密码?[答案格式:password][★★★★★]

3W.pa0fen.com

虚拟机–DB–开启–VNC–进入单用户模式–关闭SELinux–重启–进入单用户模式–修改root密码–进入系统

gzexe -d backup.sh linux shell 解密

15.请分析服务器,给出数据库备份文件存放路径?[答案格式:/xx/xxx][★★★★★]

/data/mysql_back

16.请分析服务器,给出数据库备份文件解压密码?[答案格式:password][★★★★★]

[email protected]

17.请分析服务器,给出数据库备份文件间隔多少天会删除?[答案格式:1][★★★★★]

45

18.请分析服务器,给出数据库每天几点会执行备份操作?[答案格式:00:00][★★★☆☆]

02:00

crontab -l

19.请分析服务器,给出跑分网站后台用户余额总计?[答案格式:1000][★★☆☆☆]

7459848

//WEB虚拟机内运行

service nginx start

service php-fpm start

cd /www/

chgrp -R nginx admin.paofen.com/

chown -R nginx admin.paofen.com/

cd /var/log/redis

chgrp redis redis.log

chown redis redis.log

service redis start

vi /www/admin.paofen.com/app/database.php

修改

// 服务器地址

'hostname' => '3w.paofen.db',

// 数据库名

'database' => '3w.paofen.db', //98源码论坛分享 www.98sucai.com

// 用户名

'username' => '3w.paofen.db',

// 密码

'password' => '3w.paofen.db',

// 端口

'hostport' => '8306',

// 服务器地址

'hostname' => '3w.paofen.db',

// 数据库名

'database' => 'paofen', //98源码论坛分享 www.98sucai.com

// 用户名

'username' => 'root',

// 密码

'password' => '3W.pa0fen.com',

// 端口

'hostport' => '3306',

//DB虚拟机内运行

service firewalld stop

dumpe2fs /dev/sdb1 |grep mounted

mount /dev/sdb1 /data

cd /data/mysql_back

openssl des3 -d -k [email protected] -salt -in /data/mysql_back/db_backup_20230515.tar.gz | tar xzf -

cd 20230515/

service mysqld start

mysql -uroot -p3W.pa0fen.com paofen < paofen.sql

//开启MySQL general_log

set global general_log = ON;

set global general_log_file='/tmp/general.log';

quit

tail -f /tmp/general.log

//本机修改hosts文件

192.168.91.141 admin.paofen.com

浏览器访问http://admin.paofen.com:8083/admin.php/login/login.html

使用账号admin 密码123456 登录

find /www/admin.paofen.com/ -type f -iname '*.php' |xargs grep '密码输入错误'

vi /www/admin.paofen.com/app/admin/logic/Login.php

if (!empty($member['password']) && data_md5_key($password) == $member['password']) {

改为

if (!empty($member['password']) && data_md5_key($password) != $member['password']) {

使用账号admin 密码123456 登录

后台–系统首页–用户余额总计

20.请分析服务器,给出跑分平台后天未处理的用户申请有多少个?[答案格式:1000][★★☆☆☆]

24

21.请分析服务器,给出会员聂鸿熙推荐人的姓名?[答案格式:张三][★★☆☆☆]

针长兴

22.请分析服务器,给出给出跑分平台内用户银行卡所属银行共有几家?[答案格式:10][★★★★★]

12

navicat 连接数据库 192.168.91.140 导出表分析

或使用sql语句SELECT COUNT(DISTINCT bank_name) FROM `ob_user_bank`;

23.接上题,请给出这些银行中用户数最多的银行名称?[答案格式:xx银行][★★★★★]

农业银行

SELECT bank_name,COUNT(bank_name) FROM `ob_user_bank` GROUP BY bank_name ORDER BY COUNT(bank_name) DESC;

24.请分析服务器,给出用户“祝虹雨”通过审核的充值总额?[答案格式:10][★★★★★]

366335

SELECT SUM(money) FROM `ob_charge_log` WHERE name='祝虹雨' and `status`=1;

25.请分析服务器,给出该跑分团队可能的办公大楼有几个?[答案格式:1][★★☆☆☆]

2

虚拟机–DB–开启–VNC–进入单用户模式–修改root密码–进入系统

cp -r /www/backup/panel/ /root/ && cp -r /www/server/panel/data/ /root && rm -f /www/server/panel/data/close.pl && bt 23 && bt 11 && bt 12 && bt 13 && bt 24 && bt 5

bt 14

浏览器访问http://192.168.91.142:19088/d5aa5a5a

宝塔内启动hy.paofen.com网站

宝塔数据库–MySQL–数据库hy_paofen_com–导入备份文件

//本机修改hosts文件

192.168.91.142 hy.paofen.com

浏览器访问http://hy.paofen.com:8085/dkewl.php/index/login

使用账号admin 密码123456 登录

find /www/wwwroot/hy.paofen.com/ -type f -iname '*.php' |xargs grep '密码不正确'

find /www/wwwroot/hy.paofen.com/ -type f -iname '*.php' |xargs grep 'Password is incorrect'

vi /www/wwwroot/hy.paofen.com/application/admin/library/Auth.php

if ($admin->password != md5(md5($password) . $admin->salt)) {

改为

if ($admin->password == md5(md5($password) . $admin->salt)) {

使用账号admin 密码123456 登录

后台–CSM会议室预约–大楼管理

26.请分析服务器,给出用户John共提了几次会议预约申请,通过了几个?[答案格式:1,1][★★☆☆☆]

9,3

27.接上题,用户John哪个时间段的会议预约申请次数最多[答案格式:2000-01-01 00:00-00:00][★★☆☆☆]

2023-05-15 16:00-16:59

28.请分析服务器,给出用户Harvey预约了什么时间的会议?[答案格式:2000-01-01 00:00-00:00][★★☆☆☆]

2023-05-15 17:00-17:59

29.会议管理系统的后台登陆地址是[答案格式:www.baidu.com:8080/login.php][★★☆☆☆]

hy.paofen.com:8085/dkewl.php

写在后面:本次服务器复盘主要参考大佬文章

版权声明:本文为CSDN博主「yagami_gagami」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。

原文链接:https://blog.csdn.net/u010676429/article/details/130922385

大佬的思路比较还是比较清晰,改登录方式相比我们去找加密方式重写密码到数据库,速度更快也更高效,感觉还是对技术要求较高。

考察要点:NAS,单用户重置密码,网站重构,数据分析。


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3NTU3NTY0Nw==&mid=2247487222&idx=1&sn=4089e59647365d03e5069a01d843c0d2&chksm=cf3e2ec6f849a7d0e1aed06d9d02bb65efe60614d2ae2efd9d96c54564e917acef8973716db5#rd
如有侵权请联系:admin#unsafe.sh