复盘第二届长安杯电子取证习题
生活随笔
收集整理的這篇文章主要介紹了
复盘第二届长安杯电子取证习题
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
CONTENT
- (一)需要提前準備的內容
- (二)題目及解析
- 1.檢材 1 的操作系統(tǒng)版本是()
- 2.檢材 1 中,操作系統(tǒng)的內核版本是()
- 1—2解析
- 答案
- 3.檢材 1 中磁盤包含一個 LVM 邏輯卷,該 LVM 開始的邏輯區(qū)塊地址(LBA)是()
- 3解析
- 答案
- 4.檢材 1 中網站“www.kkzjc.com”對應的 Web 服務對外開放的端口是()
- 答案
- 5.檢材 1 所在的服務器共綁定了()個對外開放的域名
- 解析
- 答案
- 6.檢材 1 所在的服務器的原始 IP 地址是()
- 7.嫌疑人曾經遠程登錄過檢材 1 所在的服務器,分析并找出其登錄使用的 IP 地址是()(并使用該地址解壓檢材 2)
- 6—7解析
- 答案
- 8.檢材 1 所在的服務器,其主要功能之一為反向代理。找出“www.kkzjc.com”轉發(fā)的后臺網站所使用 的 IP 地址是()(并用該 IP 地址解壓檢材 3)
- 解析
- 答案
- 9.嫌疑人曾經從題 7 的 IP 地址,通過 WEB 方式遠程訪問過網站,統(tǒng)計出檢材 1 中該 IP 出現的次數為() (答案格式:“888” 純數字)
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
- 1.
(一)需要提前準備的內容
(二)題目及解析
檢材鏈接如下:
https://pan.baidu.com/s/1ch2-1H_dgkrNYZ0LMUz9_A?pwd=alex
##取證過程可能涉及的軟件
弘連火眼仿真(搭配vmware workstation),火眼數據分析,網探,XShell
Navicat Premium 15
dnSpy
IIS(重構網站需要windows開啟對應IIS服務,詳情見百度)
1.檢材 1 的操作系統(tǒng)版本是()
A. CentOS release 6.5 (Final)
B. Ubuntu 16.04.3 LTS
C. Debian GNU/Linux 7.8 (wheezy)
D. CentOS Linux release 7.6.1810 (Core)
2.檢材 1 中,操作系統(tǒng)的內核版本是()
(答案格式:“1.2.34” 數字和半角符號)
1—2解析
打開火眼仿真,對檢材1中DD文件創(chuàng)建虛擬機,登錄
溫馨提示,賬號:root,密碼:123456
輸入命令查詢操作系統(tǒng)和內核版本
如下圖所示
答案
1.D
2. 3.10.0
3.檢材 1 中磁盤包含一個 LVM 邏輯卷,該 LVM 開始的邏輯區(qū)塊地址(LBA)是()
(答案格式:“12345678” 純數字)
3解析
打開火眼數據分析,導入檢材1文件,查看分區(qū)詳情,可知LVM邏輯卷大小對應分區(qū)3,打開分區(qū)詳情可知其對應開始的LBA
答案
2099200
4.檢材 1 中網站“www.kkzjc.com”對應的 Web 服務對外開放的端口是()
(答案格式:“123456” 純數字)
解析:涉及網站內部文件,需要連接服務器進一步了解
先在檢材1虛擬機中查看ens33的ip地址(192.168.1.128)
小知識點:RedHat/CentOS 7的網卡名字叫做ens33。
既不是0開始也不是傳統(tǒng)的eth開頭,eth很好理解嘛,ethernet的縮寫。
RedHat/CentOS 7系列采用dmidecode采集命名訪問,采用了硬件相關信息,可以實現網卡名字永久唯一化。
查看端口和服務
netstat -antp
了解到ssh對應端口為7001,到此,已獲悉所有連接服務器所需信息
打開網探,連接服務器
了解一個服務器最好的方式是看歷史操作記錄,一般日志文件都能被掃描出來
在一般情況下歷史日志的具體位置 (/root/.bash_history)
打開網站——nginx——查看配置文件nginx.conf
(很顯然該網站用的是nginx,畢竟你點其他apache還是tomcat都沒有文件)
很顯然,配置文件中沒有我們想要的直觀的信息,主要是因為配置單個文件太大,如果出了什么問題,排查起來很復雜,所以一般會分散開來,并被include進去,所以下一步打開/etc/nginx/conf.d/*.com
于是找到了www.kkzjc.com的相關配置信息
答案
32000
5.檢材 1 所在的服務器共綁定了()個對外開放的域名
解析
見上圖,有3個.com所以就是3個對外開放的域名
雖然是這個道理,但是這樣解釋太過蒼白,難以令人信服
在第4題netstat -anpt中我們看到
nginx:master分走30000,31000,32000
ssh對應的7001是登錄服務器的端口
127.0.0.1:25和0::1:25是master運載起來的端口
所以很顯然答案就在30000,31000,32000
細心的小朋友會發(fā)現如果向打開www.kkzjc.com一樣點進/etc/nginx/conf.d/*.com中其他2個.com文件
分別對應以上3個listen,易證共有3個對外開放的域名
答案
3
6.檢材 1 所在的服務器的原始 IP 地址是()
7.嫌疑人曾經遠程登錄過檢材 1 所在的服務器,分析并找出其登錄使用的 IP 地址是()(并使用該地址解壓檢材 2)
6—7解析
題6
不太理解其中ip的彎彎繞繞如何代理的過程,檢材2既然登錄過服務器,在瀏覽器中輸入的ip地址即為服務器的原始ip,要么登錄檢材2看瀏覽器的歷史記錄,要么在檢材1的日志看看有沒有線索
查看docker日志
輸出很多,翻一下可以看到
/docker-entrypoint.sh: Configuration complete; ready for start up 192.168.99.222 - - [19/Sep/2020:17:39:48 +0000] "GET / HTTP/1.1" 200 612 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-" 2020/09/19 17:39:48 [error] 21#21: *1 open() "/usr/share/nginx/html/favicon.ico" failed (2: No such file or directory), client: 192.168.99.222, server: localhost, request: "GET /favicon.ico HTTP/1.1", host: "192.168.99.3:8091" 192.168.99.222 - - [19/Sep/2020:17:39:48 +0000] "GET /favicon.ico HTTP/1.1" 404 153 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-" 192.168.99.222 - - [19/Sep/2020:17:41:03 +0000] "GET / HTTP/1.1" 200 612 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-" 2020/09/19 17:41:03 [error] 21#21: *2 open() "/usr/share/nginx/html/favicon.ico" failed (2: No such file or directory), client: 192.168.99.222, server: localhost, request: "GET /favicon.ico HTTP/1.1", host: "192.168.99.3:8091" 192.168.99.222 - - [19/Sep/2020:17:41:03 +0000] "GET /favicon.ico HTTP/1.1" 404 153 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-" 192.168.99.222 - - [19/Sep/2020:17:43:45 +0000] "GET /dl HTTP/1.1" 200 1829 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-" 192.168.99.222 - - [19/Sep/2020:17:43:45 +0000] "GET /res/img/dr/login/l4.gif HTTP/1.1" 200 417 "http://192.168.99.3:8091/dl" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-" 192.168.99.222 - - [19/Sep/2020:17:43:45 +0000] "GET /res/img/dr/login/l6.gif HTTP/1.1" 200 385 "http://192.168.99.3:8091/dl" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-" 192.168.99.222 - - [19/Sep/2020:17:43:45 +0000] "GET /res/img/dr/login/l1.gif HTTP/1.1" 200 764 "http://192.168.99.3:8091/dl" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-" 192.168.99.222 - - [19/Sep/2020:17:43:45 +0000] "GET /res/img/dr/login/l5.jpg HTTP/1.1" 200 26535 "http://192.168.99.3:8091/dl" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-"192.168.99.3:8091/dl 第7題答案也有了
ps:后面會用到
題7
既然曾遠程登陸過服務器,那么服務器登錄日志會記錄下來
所以退出docker后輸入last命令查看
經常做虛擬機的小朋友可能會發(fā)現,一般XX:XX:XX:1是虛擬機設置的ip
排除干擾項便知是192.168.99.22經常登錄訪問服務器
答案
6.192.168.99.3
7.192.168.99.22
8.檢材 1 所在的服務器,其主要功能之一為反向代理。找出“www.kkzjc.com”轉發(fā)的后臺網站所使用 的 IP 地址是()(并用該 IP 地址解壓檢材 3)
解析
見第4題解析中,www.kkzjc.com網站的配置信息
server {listen 32000;server_name www.kkzjc.com;if ($host != 'www.kkzjc.com'){return 403;}#charset koi8-r;#access_log /var/log/nginx/host.access.log main; *************************************************************************************************location / {proxy_pass http://127.0.0.1:8091; pass給8091端口,其在題4netstat -antp命令中沒有出現過index index.html index.htm;} *************************************************************************************************#error_page 404 /404.html;# redirect server error pages to the static page /50x.html#error_page 500 502 503 504 /50x.html;location = /50x.html {root /usr/share/nginx/html;}# proxy the PHP scripts to Apache listening on 127.0.0.1:80##location ~ \.php$ {# proxy_pass http://127.0.0.1;#}# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000##location ~ \.php$ {# root html;# fastcgi_pass 127.0.0.1:9000;# fastcgi_index index.php;# fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;# include fastcgi_params;#}# deny access to .htaccess files, if Apache's document root# concurs with nginx's one##location ~ /\.ht {# deny all;#} }根據history大概可以知道8091可能是與docker相關,所以在虛擬機中開啟docker(或在xshell里連,都差不多)
docker ps -a /*顯示所有的容器,包括未運行的*/ systemctl start docker /*啟動docker服務*/ docker ps /*列出容器*/
關鍵信息:0.0.0.0:8091->80/tcp ,也就是說,容器內部的80端口對應容器外部的8091端口
所以進入docker內部
為方便翻頁操作,轉戰(zhàn)xshell,進入docker
實踐是檢驗真理的唯一標準
所以下一步看看conf.d有什么內容
答案
192.168.1.176
9.嫌疑人曾經從題 7 的 IP 地址,通過 WEB 方式遠程訪問過網站,統(tǒng)計出檢材 1 中該 IP 出現的次數為() (答案格式:“888” 純數字)
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
總結
以上是生活随笔為你收集整理的复盘第二届长安杯电子取证习题的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 像素是什么意思,像素与分辨率的区别
- 下一篇: vpa函数python_Biopytho