服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛

首届盘古石杯全国电子数据取证大赛 技能赛晋级赛服务器部分

MD5: FF4AB93F852B23DD759A6810754557A8

加密容器密码:usy1UN2Mmgram&^d?0E5r9myrk!cmJGr

后期服务器应该会再更新一版,全部的题解不一定会更新,估计一年内会出吧,博主马上大四了,在各种考试。

物联取证

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第1张图片

取证软件未解析软路由物联网四块检材

仿真未检测到操作系统型号

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第2张图片

将软路由四块检材同时选中挂载

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第3张图片

操作系统选择Linux

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第4张图片

高级设置选择网络设置为NAT,自动重置开机密码

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第5张图片

开始仿真

仿真后无需操作进入主界面,中文不显示,可以看到型号为openwrt。

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第6张图片

openwrt一般使用web管理。首先仿真完要做的都是配置网络,使主机能连接虚拟机。

Q:为什么要第一步要配置网络,能解决一些什么问题?

A:解决像这里的中文乱码、不显示问题,可以方便的进行文件拷贝,可以进行web管理。

搜索open wrt网卡配置,可以看到网络配置在/etc/config/network里

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第7张图片

查看现在的配置,可以看到br-lan网卡为192.168.8.20/24,同开头进来显示的IP一样,实际上玩过openwrt的知道这个IP就是第一题,他的管理IP

ip a

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第8张图片

而且不进行网络配置之前,主机ping不通该台机器

image-20230508013217586

对/etc/config/network进行编辑

vi /etc/config/network

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第9张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第10张图片

这里只有lan这张网卡拥有配置,我们对其进行修改,保持IP不变,将其他选项修改成我们虚拟网络编辑器中的网络配置,如果一台机器有多个网络配置,我们要在虚拟机设置里,增加多张网卡后,再对网络信息进行配置,就像后面的k8s集群配置一样

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第11张图片

查看虚拟机网络配置

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第12张图片

a. 虚拟网络编辑器中子网IP和掩码组成的网段必须包括我们该台虚拟机,或者该段虚拟机集群的网段

b.将对应的掩码,网关,其中一个dns都设置成虚拟机网络配置中对应的值

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第13张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第14张图片

保存,重启即可

重启后即可ping通,使用ssh连接,web访问等

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第15张图片

开始做题

1.请给出该软路由管理的IP地址?(答案格式:192.168.1.1)(★☆☆☆☆)192.168.8.20

管理IP由前面所得,即为192.168.8.20

2.请给出该软路由管理员的密码?(答案格式:admin123!@#)(★★★☆☆) P@ssw0rd

P@ssw0rd

软路由管理密码即为服务器root密码,可以采用读 /etc/shadow的方式去爆破密码,ocr识别字符串

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第16张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第17张图片

因为openwrt通常使用web管理,所以其网页账号密码可以保存在浏览器中,在前面检材中浏览器保存的表单可以读取到账号密码为P@ssw0rd

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第18张图片

3.请给出阿里云WebDAV的token?(答案格式:bac123sasdew3212…)(★★☆☆☆) afc455bdc29a45b18f3bae5048971e76

afc455bdc29a45b18f3bae5048971e76

使用上一题得到的密码,登录管理后台

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第19张图片

在 服务->阿里云盘WebDAV 可以看到token为afc455bdc29a45b18f3bae5048971e76

检材段我们无法刷新,所以答案应为这个

4.请给出该软路由所用机场订阅的token?(答案格式:bac123sasdew3212…)(★★☆☆☆) 502f6affe3c7deb071d65fb43effc06d

502f6affe3c7deb071d65fb43effc06d

该软路由服务列表中其实存在多个代理程序,但是只有这个名为ShadowSocksR Plus+的正在运行且配置了链接,链接中含有token

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第20张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第21张图片

5.请给出该软路由数据卷的UUID?(答案格式:8adn28hd-00c0c0c0…)(★★☆☆☆) 9a89a5ec-dae6-488a-84bf-80a67388ff37

9a89a5ec-dae6-488a-84bf-80a67388ff37

在磁盘管理中我们可以看到一共由四块磁盘,对应了四个检材

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第22张图片

可以看到卷标为data的Btrfs卷其uuid号为9a89a5ec-dae6-488a-84bf-80a67388ff37,你要问我为什么data卷是数据卷,那我也说不来

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第23张图片

在挂载点选项,我也同样可以看到这个uuid为9a89a5ec-dae6-488a-84bf-80a67388ff37,挂载到了mnt下的data目录

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第24张图片

6.请给出该软路由的共享路径?(答案格式:/home/data)(★★☆☆☆) /mnt/data

/mnt/data

问共享路径,那么要找共享服务,储存选项处的共享服务并没有开启

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第25张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第26张图片

在服务->网络共享中,该服务开启,共享了名为sharedata的目录,其路径为/mnt/data

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第27张图片

尝试连接

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第28张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第29张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第30张图片

可以看到连接成功

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第31张图片

其中有一个IM文件夹,不出意外就是下一题的IM服务器

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第32张图片

至此物联取证结束

比赛的时候因为先做的集群,集群做完了发现怎么还有个服务器取证,没有检材。真的找了很久,以为在前面的pc检材中嵌套,没想到在这嵌套

服务器取证

比武的时候这块没怎么做,因为仿真起来没数据,使用vmx打开有个系统锁的东西,一直打不开

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第33张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第34张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第35张图片

仿真Windows Server 2019.vmdk没有任何相关数据

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第36张图片

仿真Windows Server 2019-000002.vmdk进入锁界面,直接运行vmx也是进入锁界面,

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第37张图片

对vmx文件进行检查,确定了虚拟机当前使用的镜像就是00002vmdk

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第38张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第39张图片

经过搜索,这是veracrypt加密系统盘的结果

https://www.howtogeek.com/6169/use-truecrypt-to-secure-your-data/

对Windows Server 2019.vmdk和Windows Server 2019-000003.vmdk进行检查

Windows Server 2019.vmdk内容基本是空白,像是新建好虚拟机的一个原始环境快照

在Windows Server 2019-000003.vmdk/分区7/Users/Administrator/Documents下发现一txt文件,内有类似密码文件,密码为123w.pgscup.com

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第40张图片

尝试使用该密码解锁vc/tc加密的0002vmdk,解锁成功,进入主界面

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第41张图片

服务器密码在另外两个镜像中可解析得到,或者在前面检材中嵌套可得P@ssw0rd

对服务器进行定向检查,同时进行解题

先进行网络设置,对原始网络进行记录,并将网络配置修改为我们虚拟机当中与虚拟网络编辑器配置相匹配的设置

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第42张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第43张图片

保持IP不变,将其他设置修改并保存

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第44张图片

已经连上互联网络

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第45张图片

在桌面发现一名为IM管理台的快捷方式

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第46张图片

查看属性可见其文件位置与详细信息

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第47张图片

整体结构相对不难

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第48张图片

im_dbserver即为数据库数据

im_server即为聊天核心服务

im_webserver即为web管理程序

上网探,,网探检测到未开启远程桌面,开启远程桌面服务

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第49张图片

网探连接

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第50张图片

连接成功

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第51张图片

1.请给出IM服务器的当前Build版本?(答案格式:11111)(★☆☆☆☆) 17763.379

17763.379

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第52张图片

2.请给出IM聊天服务的启动密码?(答案格式:3w.Baidu.com)(★★★★★) 123w.pgscup.com

123w.pgscup.com

启动密码应该为进系统时vc/tc的密码,即123w.pgscup.com

3.请给出该聊天服务器所用的PHP版本?(答案格式:7.2.5)(★★★★☆) 7.4.32

7.4.32

在快速访问中发现最近曾编辑过php.ini,打开文件所在位置为C:\Program Files (x86)\IM Console\IM Console\im_webserver\php

结合im控制台的位置

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第53张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第54张图片

基本确定im系统运行的目录在C:\Program Files (x86)\IM Console\IM Console下

查询php版本

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第55张图片

版本为7.4.32

4.请给出该服务器所用的数据库类型及版本?(答案格式:mysql 5.7.1)(★★★★★) mariadb 10.4.12

mariadb 10.4.12

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第56张图片

5.请给出该服务器MySQL数据库root账号的密码?(答案格式:3w.baidu.com)(★★★★★) www.upsoft01.com

www.upsoft01.com

在C:\Program Files (x86)\IM Console\IM Console\im_server\im_common\conf中检查到一system.ini文件

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第57张图片

其中检得mysql的root账号密码

DBUser=root
DBPassword=www.upsoft01.com

6.请给该IM服务器内当前企业所使用的数据库?(答案格式:admin_admin)(★★★★☆) antdbms_usdtreclub

antdbms_usdtreclub

见下题重构

7.请给出该组织“usdtreclub”内共有多少个部门(不含分区)?(答案格式:1)(★★★☆☆) 6

6

重构im服务web管理系统

连接mysql

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第58张图片

其中可见2数据库,猜测2数据库分别对应下面两个系统

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第59张图片

重构即时通讯总控制台

即通讯录系统控制系统,即控制通讯录系统的系统

image-20230511191257041

绕过密码即可,其模块名为Ms

在Application下找到该Ms模块

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第60张图片

其下conf文件加下的config文件并未配置数据库连接信息,推测使用的是前文的全局配置,

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第61张图片

其数据库中的密码无法直接解密,对后台登陆进行绕过

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第62张图片

有多语言版本,对其进行追踪

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第63张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第64张图片

定位到登录逻辑所在地

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第65张图片

换个方法,重构k8s的网站不同,这里使用直接将判断密码是否相等的语句注释掉,那么在登陆时,只判断用户名,很快

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第66张图片

输入用户名点登录即可登录后台

image-20230511193753583

在总控制台中可以看到当前存在一家企业,即usdtreclub,当前企业的数据库为antdbms_usdtreclub即上题的答案

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第67张图片

重构即时通讯系统登陆

即通讯录系统的管理平台,管理内部通讯录

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第68张图片

可见其自动填写了企业和超管用户名

且在上题知道,通讯录系统的数据库为antdbms_usdtreclub

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第69张图片

那么找到用户表

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第70张图片

可以看到有四个管理员,密码相同,解出为bigant@2018

是一条付费记录

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第71张图片

可以重构,继续查找其报错

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第72张图片

跟进

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第73张图片

虽然有很多文件都存在这个_ACCOUNT_PASSWORD_ERROR_,但是我们要找登录判断逻辑,所以首先排除两个语言翻译文件,其次根据模块判断,现在正在home模块下,那么common模块的登录判断更有可能相关,而两个ms模块下的文件,在刚才的重构中已经使用过的,证实就是ms模块的判断,那么只剩下这个UserModel.class.php

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第74张图片

也使用注释密码相等的判断语句来实现免密登录,全部注释掉

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第75张图片

直接输入任意用户名就可以实现登录

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第76张图片

这个序列号过期应该也是可以绕过的,等下看要是需要就绕过,不需要就不管了

可以看到共有6个部门

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第77张图片

8.客户端消息传输采用哪种加密形式?(答案格式:A)(★★☆☆☆) A.AES128 B.AES256 C.DES D.Base64 B.AES256

B.AES256

可以看到当前消息传输加密采用了AES256

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第78张图片

9.以下那个不是此系统提供的应用?(答案格式:A)(★★☆☆☆) A.云盘 B.审批 C.会议 D.考勤 D.考勤

D.考勤

可以查看到当前开启的应用,当前未开启考勤

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第79张图片

10.请给出“ 2023-04-11 21:48:14”登录成功此系统的用户设备MAC地址?(答案格式:08-AA-33-DF-1A)(★★★☆☆) 80-B6-55-EF-90-8E

80-B6-55-EF-90-8E

导出excel进行查询,该时间2023-04-11 21:48:14只有一条退出的记录,mac为80-B6-55-EF-90-8E

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第80张图片

11.请给出用户“卢正文”的手机号码?(答案格式:13888888888)(★★★★☆) 13580912153

13580912153

直接查找其手机号为13580912153

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第81张图片

做下来,感觉难度星星都是虚标的,只有启动密码稍有难度,其他其实就是后台的翻找查看,怎么第7题-第11题同样都是再后台翻找检查,其难度给的都不一样。

集群服务器取证

先跑取证软件

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第82张图片

很多不识别,意料之中

仿真起动三台服务器,在仿真k8s集群时,需要多分一点内存,推荐5g网上,防止应用在仿真时出错

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第83张图片

网卡选用NAT模式,以便虚拟网络编辑器分配网络,同时使三台主机相互之间可以访问

三台主机都按此进行仿真

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第84张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第85张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第86张图片

可以看到三台主机的IP和网段,因为我虚拟网络编辑器的网段是192.168.0.0/16,但是仿真起来他这是网段是192.168.91.171/24,所以看起来没有开dhcp

cat /etc/hosts

查看IP映射表,与三台主机当前IP相对应

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第87张图片

我们接下来将他们的IP配成static,保持原IP不变,需要将网卡配置修改成与我们虚拟网络编辑器NAT配置中相对应

vi /etc/sysconfig/network-scripts/ifcfg-ens33 

但是我是手打的,在vi /etc/sysconfig/network-scripts/ifcfg-ens3时按tab补全时发现,该台机器存在两张网卡

分别为ens33 和ens34

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第88张图片

那么在配置时需要同时使这两张网卡生效

在虚拟机配置栏再添加一张nat网卡,重新打开

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第89张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第90张图片

配置第一张网卡,模式已经是static了,将prefix和gateway和dns1都修改成你当前虚拟网络编辑器的配置

但是该配置需要当前网段包含两张网卡所在的网段即包含192.168.91.0/24和192.168.8.0/24,所以我直接配个192.168.0.0/16是绝对没啥问题的

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第91张图片

修改后

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第92张图片

ens34

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第93张图片

修改后

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第94张图片

查看网卡,新添加的网卡识别出来为ens37

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第95张图片

将ifcfg-ens34中的device和name都修改成ens37

vi /etc/sysconfig/network-scripts/ifcfg-ens34

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第96张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第97张图片

再分别将ifcfg-ens34 文件名修改为ifcfg-ens37

mv /etc/sysconfig/network-scripts/ifcfg-ens34 /etc/sysconfig/network-scripts/ifcfg-ens37

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第98张图片

将三台机器,每台机器的两张网卡都按此操作,并确保都添加了两张网卡,全部重启一遍,确保所有配置更改都生效

重启后主机即能ping通三台主机

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第99张图片

进行ssh连接,master连不上,查看ssh配置,发现端口为2282,其他两台正常

vi /etc/ssh/sshd_config

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第100张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第101张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第102张图片

查看历史命令,发现两个node还需使用nfs将master的/www挂载到本地/www

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第103张图片

两台主机按其挂载的方式进行挂载

image-20230509000241826

检查node和pod是否正常

kubectl get nodes -o wide
kubectl get pod --all-namespaces

所有node均ready,kefu、licai、shuadan的所有pod均ready,集群重构至此基本结束,进行取证分析

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第104张图片

1.请给出集群master节点的内核版本?(答案格式:2.6.0-104.e11.x86_64)(★☆☆☆☆) 3.10.0-957.el7.x86_64

3.10.0-957.el7.x86_64

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第105张图片

2.请给出该集群的pod网络?(答案格式:192.168.0.0/24)(★★★★☆) 10.244.0.0/16

10.244.0.0/16

查看当前k8s集群中 pod 和 service 网段信息

kubectl get configmap kubeadm-config -n kube-system -o yaml

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第106张图片

podSubnet: 10.244.0.0/16

3.请给出该集群所用的网络插件?(答案格式:abcd)(★★☆☆☆) calico

calico

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第107张图片

kubectl get pod --all-namespaces

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第108张图片

4.默认ns除外,本集群共有多少个ns?(答案格式:1)(★★★☆☆) 8

8

kubectl get namespaces

查看所有namespace

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第109张图片

5.请给出该集群的集群IP?(答案格式:192.168.0.0)(★★☆☆☆) 192.168.91.171

192.168.91.171

kubectl cluster-info

查看集群信息

image-20230508232639419

6.请给出该ns为“licai”svc为“php-svc”的访问类型?(答案格式:Abc)

(★★☆☆☆) NodePort

NodePort

kubectl get svc --all-namespaces

查看所有service

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第110张图片

7.请给出ns为“shuadan”下的的PHP版本?(答案格式:1.1)(★★★★★) 7.2

7.2

kubectl describe pods php-deploy-7d9648677d-dbm66 -n shuadan
# 或者搜索一下其中的php关键词
kubectl describe pods php-deploy-7d9648677d-dbm66 -n shuadan | grep php

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第111张图片

8.请给出本机集群所使用的私有仓库地址?(答案格式:192.168.0.0)(★★★★☆) 192.168.8.12

192.168.8.12

当前版本k8s使用的是docker来构建集群,可以直接查看docker的配置文件

cat /etc/docker/daemon.json 
[root@master ~]# cat /etc/docker/daemon.json 
{
  "registry-mirrors": ["https://jzjp9481.mirror.aliyuncs.com"],# 阿里云加速镜像
  "insecure-registries":["192.168.8.12"]#私有仓库地址
}

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第112张图片

也可以查看根目录下有一个.docker文件夹

其中包含了私有仓库的地址和认证tocken

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第113张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第114张图片

9.接上题,请给出登录该私有仓库所用的token?(答案格式:bae213ionada21…)(★★★★★) dXNlcjozVy5wZ3NjdXAuY29t

dXNlcjozVy5wZ3NjdXAuY29t

继上题

cat /root/.docker/config.json 

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第115张图片

10.请给出“licaisite”持久化存储的大小?(答案格式:10G)(★★☆☆☆) 6G

6G

kubectl get pv

查看所有pv卷

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第116张图片

11.接上题,请给出对应的存储持久化声明名称?(答案格式:abc-abc)(★★★☆☆) licaisite-pvc

licaisite-pvc

同上题

kubectl get pv

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第117张图片

k8s面板安装解法

可以直接安装一个k8s的可视化面板,以上的题目基本上能很快的找到,这里以kuboard面板为例

在master上安装kuboard服务

kubectl apply -f https://kuboard.cn/install-script/kuboard.yaml

在master输入以下字符串获取token

访问任意节点的32567端口

输入token

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第118张图片

前面的题目基本上比较快的从面板上找到答案,面板都是中文的,使用比较简单,不再做更详细的介绍

12.请给出集群内部署网站所使用数据库的IP地址和端口号?(答案格式:192.168.0.0:8080)(★★★☆☆) 61.150.31.142:3306

61.150.31.142:3306

网站源码在连接数据库时,一定会使用数据库配置文件,根据前面集群搭建时对集群检查发现master根目录下存在/www,对其进行检查,是licai、shuadan、kefu三个站的源码,对源码进行检查,在其中发现数据库配置文件

cat /www/site/kefu/config/database.php

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第119张图片

既然题目这么问,那么三个站的数据库应该都是一样的,对三个站的数据库链接文件进行检查,发现确实是一样的

13.请给出网站“vip.kefu.com”所使用的端口号?(答案格式:8080)(★★☆☆☆) 8083

8083

cat /www/site/kefu/public/index.php

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第120张图片

也可以查看日志

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第121张图片

14.请给出网站“vip.shuadan.com”连接数据库所使用的账号和密码?(答案格式root/password)(★★★★★) vip.shuadan.com/nFRrSNh6Msnbtpay

vip.shuadan.com/nFRrSNh6Msnbtpay

cat /www/site/shuadan/config/database.php

数据库配置文件处于加密状态

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第122张图片

对其进行解密

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第123张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第124张图片

15.请给出调证数据库的版本号?(答案格式5.7.1)(★★★★★) 5.6.50

5.6.50

\数据库\data\localhost.log

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第125张图片

16.请给出刷单网站客服域名?(答案格式:http://www.baidu.com:8080/login.html)(★★★★★) vip.kefu.com

vip.kefu.com

本地重构刷单网站

将网站源码导出到本地,将数据库在本地还原

在本地起一个版本相同或相近的数据库

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第126张图片

打开数据库文件位置

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第127张图片

将整个data替换进来

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第128张图片

绕过登录密码

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第129张图片

启动数据库,连接数据库查看

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第130张图片

所有数据表访问正常

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第131张图片

创建网站,域名按原来的域名,根据log文件的文件名进行命令

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第132张图片

打开根目录将源码拷贝到我们搭建的站点中

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第133张图片

因为网站的运行目录在public下,可根据ico和index文件位置判断,我们将运行目录设置到public下

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第134张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第135张图片

配置一个伪静态规则


Options +FollowSymlinks -Multiviews
RewriteEngine on
 
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php?/$1 [QSA,PT,L]

伪静态规则

直接对源码经常重构经常会碰到的就是伪静态规则有问题导致一些页面无法正常显示

注意可以切换nginx和apache中间件

这里使用什么都可以,中间件和伪静态规则对应即可,这里因为原来服务使用的时nginx,使用nginx重构会比较好,但是我就是要用apache,一套下来基本没有大的差别,或者都是小问题,比重构到一般切换中间件更好解决的小问题

同时nginx一般配以下的伪静态

   if (!-e $request_filename) {
   rewrite  ^(.*)$  /index.php?s=/$1  last;
   break;
    }

apache一般配以下的伪静态


Options +FollowSymlinks -Multiviews
RewriteEngine on
 
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php?/$1 [QSA,PT,L]

访问该站即重构完成

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第136张图片

理财的客服域名,登录后台查看

在application中可以看到,后台的入口为admin_2019

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第137张图片

绕过登录密码,数据库中admin账号无法直接解出且id为8,weiliang用户id为1且密码可以解出,为123456,直接使用weiliang用户登录后台

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第138张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第139张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第140张图片

登录普通用户,可在个人中心看到在线客服选项

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第141张图片

vip.kefu.com

17.请给出理财客服系统用户“admin”共有多少个会话窗口?(答案格式:123)(★★★★★) 8

8

以方法讲解为主,这里一定是正确答案,因为前面再仿真重构过程中我也有打开了客服交流窗口,以大家自行搭建起来,没有打开客服窗口时看到的个数为准。

本地重构理财网站

在前面的基础上,重构理财网站

查看理财站原域名vip.usdtre.club

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第142张图片

创建一个该名称的新网站

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第143张图片

打开根目录位置,将源码导入

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第144张图片

当前目录即为网站运行目录

index.php的数据库配置无需修改

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第145张图片

conf下的数据库修改为本机

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第146张图片

设置伪静态

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第147张图片

设置合适的php版本

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第148张图片

网站重构完成

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第149张图片

登录普通用户查看

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第150张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第151张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第152张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第153张图片

后台

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第154张图片

进入后台时需要输入验证的密钥

在index中有定义该密钥

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第155张图片

具体后台地址可以到日志中查找详细地址

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第156张图片

后台登录密码绕过

查询数据库中的加密字符串无结果

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第157张图片

查询报错

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第158张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第159张图片

密码为密码的md5值

原加密密钥串:902ae5671f72c85310a511085cd485b0

构造加密密钥串

md5(123456)

e10adc3949ba59abbe56e057f20f883e

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第160张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第161张图片

后台登陆成功

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第162张图片

本地重构客服网站

在前面的基础上,重构客服网站

根据客服网站的日志,按原始的域名创建一个新站,同时设置端口为原来的端口vip.kefu.com:8083

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第163张图片

拷贝源码文件

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第164张图片

设置网站运行目录为public

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第165张图片

将数据库地址修改到本地

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第166张图片

设置伪静态规则

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第167张图片

访问即可进入后台

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第168张图片

绕过登陆密码

搜索字符串

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第169张图片

追踪加密

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第170张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第171张图片

    public function getEncryptPassword($password, $salt = '')
    {
        $password = md5(md5($password) . $salt);
        return $password;
    }

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第172张图片

双层md5,第一次md5后加上用户名作为盐值在进行一次md5

旧密码:92254023d5310ac778385e6dc4ea0569

双层md5生成新密码,替换数据库中原密钥

123456

c7122a1349c22cb3c009da3613d242ab

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第173张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第174张图片

成功登录后台

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第175张图片

选择理财系统的客服

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第176张图片

打开

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第177张图片

数据库查找该理财客服的账号密码

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第178张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第179张图片

无法直接查询到密码,继续绕过

查询报错

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第180张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第181张图片

加密方式为

$pass = md5($post['user_name'] . "hjkj" . $post['password']);

将用户名和hjkj和密码拼接后进行一次md5操作

原加密密钥:abf5807a649e408f08198b5f0727ad16

生成字符串:

123456

md5(adminhjkj123456)

d8f7c2d2775869fb69b8757edcf6ae4f

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第182张图片

登陆成功

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第183张图片

会话窗口即当前咨询用户数为8人

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第184张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第185张图片

以方法讲解为主,这里一定是正确答案,因为前面再仿真重构过程中我也有打开了客服交流窗口,以大家自行搭建起来,没有打开客服窗口时看到的个数为准。

18.刷单客服是嵌套在刷单源码下那个文件内,请给出该文件在网站源码内的目录和文件名?(答案格式:www.baidu.com:8080/login.html)(★★★★★) /www/site/shuadan/application/index/view/user/user.html

/www/site/shuadan/application/index/view/user/user.html

继16题,可见当前路径为/index/user/index

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第186张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第187张图片

按thinkphp的规则以及搜结果可以判断该文件位置为

/www/site/shuadan/application/index/view/user/user.html

19.请统计出刷单网站后台累计提现成功的金额?(答案格式:1000)(★☆☆☆☆) 7611

7611

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第188张图片

20.请给出受害人上级的电话号码?(答案格式:13888888888)(★★★☆☆) 18671068082

18671068082

受害人张娟

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第189张图片

查找张娟,其上级为一个用户名叫xdl123的用户

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第190张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第191张图片

手机号打码了,在数据库中搜索该用户名

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第192张图片

18671068082

21.请给出刷单网站受害人加款的时间(北京时间)?(答案格式:2023-05-06 14:00:00)(★★★☆☆) 2023-04-12 14:57:32

2023-04-12 14:57:32

查询明细

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第193张图片

加款时间为2023-04-12 14:57:32

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第194张图片

22.该理财网站曾经被挂马,请给出上传木马者的IP?(答案格式:192.168.10.10)(★★★☆☆) 103.177.44.10

103.177.44.10

对理财网站扫描木马

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第195张图片

在\www\site\shuadan\public\uploads下发现木马1.php,因该木马在上传目录下,更有可能是攻击者上传的,其他的更像是管理工具

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第196张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第197张图片

这个马是穿在刷单站下的,并不是题目说的理财站,要么是我没有找到

在刷单站的日志中,103.177.44.10这个IP集中出现在最后,对1.php进行操控,其他地方未见该IP

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第198张图片

理财站的日志中没有对php文件的操作

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第199张图片

23.接上题,请找到此木马,计算该木马的md5?(答案格式:123dadgadad332…)(★★★☆☆) 182b23b83115459b4cbe5bb1e5a3c5f5

182b23b83115459b4cbe5bb1e5a3c5f5

该可疑木马的md5

182B23B83115459B4CBE5BB1E5A3C5F5

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第200张图片

24.请统计该投资理财平台累计交易额为多少亿?(答案格式:1.8)(★★☆☆☆) 1.42

1.42

累计交易额为1.42亿

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第201张图片

25.请给出该虚拟币投资平台内用户“李国斌”的银行卡号?(答案格式:622222222222222)(★★★☆☆) 6212260808001710173

6212260808001710173

后台没搜到

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第202张图片

到数据库中找一张包含银行卡号的表

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第203张图片

数据比较多就select一下,选好各种平台的sql语言、hsql、图数据库语言很重要,就算后台搭不起来,还能面向数据库做题

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第204张图片

26.分析该虚拟币投资平台财务明细表,用户“13912345678”共支出多少钱(cnc), 结果保留两位小数?(答案格式:10000.00)(★★★★★) 9186.24

9186.24

后台进行查询

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第205张图片

共有两页25条数据,可以直接口算

也可以将整个表复制到excel里进行筛选求和

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第206张图片

也可以到数据库中,对应好收入和支出进行查询

但是要注意其支出的定义,不要重复计算

按我的理解其中有4笔订单是撤销交易的,那么委托的订单也不能算入支出,撤销的金额也不要算入支出,即有撤销的话两笔订单价都不能计入支出的范围

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第207张图片

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第208张图片

以及其他都是委托,有两单交易成功

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第209张图片

那么以交易成功计算为支出、委托金额计算为在余额中进行冻结的话,那么支出46.33629

交易成功支出也是从原始委托的金额里出的,只要计算原始委托的支出,但是随着市场价格的波动,一般买入的价格并不会刚好是委托的价格,那么观察其余额、冻结之间的关系,可以推断出,当购买成功时,价格未超出委托金额,未交易的部分原路退回余额。即有成功交易的支出,即计算交易成功的金额,未交易成功,进行委托的交易,计算委托冻结的钱。

这样算支出为9676.659493

可以观察委托交易和充值两种状态的余额变化,委托交易余额减少,充值虽然在支出这个栏目下,但是充值使与额增加,按照上面两条规则的话,余额增加,相当于平台给余额打钱,相当于是收入

服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_第210张图片

按以上这三条规则计算则该用户共支出9176.659493

纯成功买入支出46.33629

成功买入支出+当前委托9676.659493

成功买入支出+当前委托-充值成功9176.659493

具体取决于对支出的理解

总结

集群服务器部分到此结束,网站重构部分是基于将网站文件导出来做的,这就是我比武时的做法,这样感觉快,也没啥毛病。整个重构逻辑是简单的,起站点,进后台,绕密码,就是三个站点,有点多,但是方法还是基本方法。还没有仔细研究k8s内域名怎么解析进去,后面还会出一版k8s内直接做的。集群服务器的难点在于k8s如何启动,以及添加两张网卡进行网络配置。如果使用集群管理工具,前面的题目时相对简单的。后面将源码文件导出,也就是传统的网站重构的范畴。

有问题欢迎交流。

引用备注来源,浙江警察学院@Zodi4c#grignard

你可能感兴趣的:(服务器,网络,运维)