第二屆長安杯電子數據競賽試題

序號

題目內容

分數

案情簡介：接群眾舉報，網站“www.kkzjc.com”可能涉嫌非法交易，警方調取了該網站的云服務器鏡像(檢材 1.DD)，?請對檢材?1 進行分析，獲取證據，并根據線索解鎖更多檢材，深入挖掘出更多與案件有關的信息。

1

檢材?1 的操作系統版本是 (D)

A.????CentOS?release?6.5 (Final)

B. ????Ubuntu?16.04.3 LTS

C. ????Debian?GNU/ Linux?7.8 (wheezy)

D.????CentOS?Linux?release?7.6.1810 (Core)

10

2

檢材 1?中，操作系統的內核版本是 ()

(答案格式： ?“1.2.34” 數字和半角符號)

1、uname -r ： 顯示操作系統的發行版號
2、uname?-a ：顯示系統名、節點名稱、操作系統的發行版號、內核版本等等。

建議看弘連

10

3

檢材 1 中磁盤包含一個 LVM?邏輯卷，該 LVM?開始的邏輯區塊地址 (LBA) 是 ()?(答案格式： ?“12345678” 純數字)

理解關系

一、物理卷、邏輯卷、卷組、快照卷之間的聯系

物理卷（Physical Volume,PV）：就是指硬盤分區，也可以是整個硬盤或已創建的軟RAID，是LVM的基本存儲設備。

卷組（Volume Group,VG）：是由一個或多個物理卷所組成的存儲池，在卷組上能創建一個或多個邏輯卷。

邏輯卷（Logical Volume,LV）：類似于非LVM系統中的硬盤分區，它建立在卷組之上，是一個標準的塊設備，在邏輯卷之上可以建立文件系統。
舉例：如果把PV比作地球的一個板塊，VG則是一個地球，因為地球是由多個板塊組成的，那么在地球上劃分一個區域并標記為亞洲，則亞洲就相當于一個LV

所以其實DD是一個硬盤分區，然后centos作為邏輯卷是從里面分出來的，所以分區三就是邏輯卷的開始分區

10

4

檢材 1 中網站“www.kkzjc.com”對應的 Web?服務對外開放的端口是 ()

(答案格式： ?“123456” ?純數字)?

首先是 看history溯源

這個是可以推測的，到周圍去找，可以發現32000端口

就是從nginx結構看，先找配置文件

?看nginx.conf

?感覺配置文件里面沒什么東西，但是有一個include

所以去那個文件夾里面看

?順利看到端口

10

5

檢材?1 所在的服務器共綁定了 () 個對外開放的域名

(答案格式： ?“123” ?純數字)

10

6

檢材 1 所在的服務器的原始 IP?地址是 ()

(答案格式： ?“172. 172.172.172” 半角符號)

這里要糾錯，原始ip不是服務器現有ip，所以這個可能是不對的，我覺得可以從日記或者歷史記錄里面找，比較早的就有可能是原始ip

先看服務器，日記所在

看日記，沒有什么用

然后思考，其實這個服務器網站都是后面三個，所以看網站的配置文件

?但是無論看什么，這幾個個文件都是沒用

然后這個時候，我們只能看看docker，也算是一個小提示

?看一下docker

?發現nginx就步在里面

進入容器看一看，典型nginx架構，我直接笑死

?看配置文件

?找日記

?發現看不了，一答案就在里面，因為映射的緣故，無法訪問

?這里用docker命令

退出docekr

然后docker logs ＋docker名，順利看到部分文日記

往下手搓，在這里首次鏈接成功，出現了ip

就是192.168.99.222訪問host：192.168.99.3

?所以最原始，最早的訪問ip是192.168.99.3

10

7

嫌疑人曾經遠程登錄過檢材 1 所在的服務器，分析并找出其登錄使用的 IP?地址是 () ?(并使用該地?址解壓檢材 2)

(答案格式： ?“172. 172.172.172” 半角符號)

上一題我認為可以解答

?就說明了訪問ip是192.168.99.222

然后其實檢材2會比較好看，從案件關聯角度，確實嫌疑人是通過2訪問1的

10

8

檢材 1 所在的服務器，其主要功能之一為反向代理。找出“www.kkzjc.com”轉發的后臺網站所使用?的 IP?地址是 () ?(并用該 IP?地址解壓檢材 3)

(答案格式： ?“172. 172.172.172” 半角符號)

關于正向代理和反向代理這張圖很清楚

服務器的正向代理與反向代理_正向代理服務器_iamteapot的博客-CSDN博客

通過看nginx結構跟明顯是知道了

我們看這個網站的配置文件

?感覺不對，還是看容器先看配置文件

?沒有說明有價值信息

訪問 順利發現地址

?location 192.168.1.176

10

9

嫌疑人曾經從題 7 的 IP?地址，通過 WEB?方式遠程訪問過網站，統計出檢材 1 中該 IP 出現的次數為 ()?(答案格式：“888” 純數字)

ip就是192.168.99.222，然后看出現幾次就是看日記，日記在docker里面

去看一下，發現沒法訪問

?只能在docker外用命令docker logs 容器名看日記

最后找到18個

10

警方找到了嫌疑人使用的個人 PC??(檢材 2.zip) ，請使用第 7 題的答案作為密碼解壓檢材 2 ，分析并回答下列問題：

10

檢材 2 的原始磁盤 SHA256 值為 ()

(答案格式：??“abcdefg” 不區分大小寫)

10

11

檢材 2 所在計算機的 OS???內部版本號是 ()

(答案格式： ?“12345.7895” 半角符號)

10

12

檢材 2 所在計算機最后一次正常關機的時間為 ()

(答案格式： ?“1970- 10-01 10:01:45” ?精確到秒，半角符號)

10

13

檢材 2 中，VMware?程序的安裝時間為 ()

(答案格式： ?“2020-01-01 21:35” ?精確到分鐘，半角符號)

10

14

檢材?2 中，Vmware.exe?程序總計啟動過 () 次

(答案格式： ?“5” 純數字)8次

10

15

嫌疑人通過 Web?方式，從檢材 2 訪問檢材 1 所在的服務器上的網站時，連接的目標端口是 ()?(答案格式： ?“12345” 純數字) 80912

這里其實意思是web方式，就是遠程連接這里遠程連接檢材1服務器，目標端口8019很明確

但是服務器地址是192.168.110.3，這題其實是上面那個很難的題目的答案，但是我覺得很難想到，不過三刷之后會溯源分析就簡單的

10

16

接?15 題，該端口上運行的進程的程序名稱 (Program?name) 為 ()

(答案格式： ?“avahi-deamon” 字母和半角符號組合)

這一題我在windows里面看端口（必然），找不到，因為題目的意思應該指的就是服務器端口。

然后去服務器里找端口，發現了8091端口。docker - proker也就是代理服務器

docker proxy是什么-Docker-PHP中文網

也就是一個代理服務

10

17

嫌疑人從檢材 2 上訪問該網站時，所使用的域名為 ()

(答案格式： ?“www.baidu.com” 半角符號)

后面兩個代理登錄時用域名登錄的，基本推斷。

10

18

檢材 2 中，嫌疑人所使用的微信 ID?是 ()

(答案格式： ?“abcde8888” 字母數字組合)

說實話，我一下子也沒有找到，就很奇怪，仿真猜發現windows里面藏著手機備份

手機備份拉倒桌面后（vm tool）

我也搞了好一會

最后在這個路徑下才分析成功

?但是好像是有個密碼沒有解出來，但是弘連好像可以自己爆搜，就是慢慢破解，然后文件就變多

信息最后還是看得到的

10

19

分析檢材 2 ，嫌疑人為推廣其網站，與廣告位供應商溝通時使用的通聯工具的名稱為 ()?(答案格式： ?“Wechat ” 不區分大小寫)

teltgram

10

20

分析檢材 2 ，嫌疑人使用虛擬貨幣與供應商進行交易，該虛擬貨幣的名稱是 ()

(答案格式：??“bitcoin” 不區分大小寫)

狗狗

聊天記錄里稍微找一下就看得到了，不是很難

10

21

上述交易中，對方的收款地址是 ()

(答案格式： ?“abC1de3fghi” 大小寫字母數字組合)

下面有

DPBEgbwap7VW5HbNdGi9TyKJbqTLWYYkvf

10

22

上述交易中，嫌疑人和供應商的交易時間是 ()

(答案格式：??“2020-01-01 21:35:54” 精確到秒，半角符號)

2020-09-20 12:23:37

聊天記錄里找一下就看得到了，好像csdn對狗幣的圖片審核很嚴格，一放上去就審核不過，所以圖片總是丟掉。

10

23

上述交易中，嫌疑人支付貨幣的數量為 ()

(答案格式： ?“8888” 純數字)

數量也要在線查。

4000個

10

24

檢材 2?中，嫌疑人使用的虛擬機的虛擬磁盤被加密，其密碼為 ()

(答案格式： ?“aoeiou”小寫字母)

zzzxxx

我試過了直接放到火眼里面沒辦法打開，所以要虛擬機先解碼

然后第二次修訂版，我總要把繞過做出來 的。

我自己寫了

vm虛擬機 加密密碼 破解術（親測可用！）（2.0更新版）_此虛擬機已加密,必須輸入密碼才能繼續_modest —YBW的博客-CSDN博客

首先是看python環境，但是我看虛擬機沒有裝環境，所以就直接拖到本地來做

?然后發現是這幅樣子

爆破進行中，要是爆不出來可以自己加字典

?我發現解密后雖然仿真可以登錄，但是火眼直接分析還是不行的，就是應該是加密導致火眼無法識別，所以我們還是要來一步解密操作

到虛擬機設置里面，直接移除加密，然后火眼才可以進行相關分析。

?然后識別出來一個嵌套，直接證據再分析就好，

添加為新的檢材

10

25

檢材?2 中，嫌疑人發送給廣告商的郵件中的圖片附件的SHA256 值為 () ； ?(忽略郵件狀態)

(答案格式： ?“abcdefg” 小寫字母)

直接算一下把

CC7EA3AB90AB6B28417E08C715C243CE58EA76D71FD141B93F055A58E9BA561A

10

26

檢材 2 中，嫌疑人給廣告商發送廣告圖片郵件的發送時間是 () ?(忽略郵件狀態)

(答案格式： ?“2020-01-01 21:35” ?精確到分鐘，半角符號)

10

27

檢材?2 中，嫌疑人的郵箱密碼是 ()

(答案格式： ?“abcde123456” 字母符號數字組合，區分大小寫)

10

28

檢材 2?中，嫌疑人使用了 () 遠程管理工具，登錄了檢材 1 所在的服務器。

(答案格式：??“abcde” 字母，不區分大小寫)

這個shell實在虛擬機里面的

10

29

檢材 2 中，嫌疑人使用上述工具連接服務器時，使用的登錄密碼為 ()

(答案格式： ?“aBcd#123” 數字符號字母組合，區分大小寫)

顯然

手搓是這樣的

，我發現xshell的文件結構不是放在program里

然后版本就是7和6都有

10

請使用第 8 題的答案作為密碼解壓檢材 3 ，分析并回答下列問題

30

檢材 3 的原始磁盤 SHA256 值為 ()+

(答案格式：??“abcdefg” 不區分大小寫)

這里先不著急做題

?轉發后臺網站ip做出來是192.168.1.176

這個就剛好對應了

所以可以知道這個iss服務器就是轉發的網站服務器

10

31

檢材 3 所在的計算機的操作系統版本是 (000000000000000000000000000000000000000000000000000000)

A.?Windows?Server?2012

B. Windows?Server?2008 R2

C.?Windows?Server?2008 HPC?Edition

D. Windows?Server?2019?LTSB

10

32

檢材 3 中，部署的網站名稱是 ()

(答案格式： ?“abcdefg” 小寫字母)

這里從架構來說，典型的就是第一種windows架構

windows sever iis里面打開網站就有，這個是常規，主要靠iis

可視化界面看到網站

為了網絡連接，修改本地虛擬網絡適配

把他改成1網段

這里看到歷史，有很多代理登錄

我也試過，連接192.168.1.176但是不行，我去探究一下

就是網站訪問是不行的，直接訪問網站不行，只能通過代理登錄

連接代理服務器 http://localhost/dl

無論是通過localhost還是ip都是可以訪問

?但是還是不能訪問網站

10

33

檢材 3 中，部署的網站對應的網站根目錄是 ()

(答案格式： ?“d?:\path1\path2\path3” 絕對路徑，半角符號，不區分大小寫)

其實面板里有提示的

點一下右邊的基本設置，就是這個物理路徑，沒什么好說的，iis就是這樣的

10

34

檢材 3 中，部署的網站綁定的端口是 ()

(答案格式： ?“12345” 純數字)

80

其實這個也很好看，沒什么技術含量

10

35

檢材?3 中，具備登陸功能的代碼頁，對應的文件名為 ()

(答案格式： ?“index.html?” 字母符號組合，不區分大小寫)

這里我要解釋一下iis，iis的根目錄其實很好看，就是點一下基本設置，然后打開后網站的根目錄，看到這么多，其實網站目錄就是web，提示很明顯。

然后點進去查看，但是我發現虛擬機里面不是很方便，所以我選擇拖到桌面上查看

配置文件就是web.config

先分析網站配置內容

前面寫的都是重定向，不同的網址定位到不同地方

后面是跳轉規則與網站

然后就是分析跳轉了，理論上是一個一個實驗過去

gl是登錄界面

?dl也是有回顯

這個都是，所以我們開始手搓源代碼

這個是代理的

?這個是用戶的

?其實按道理說，我覺得這個都是可以的，一個是前段，一個是后端

所以這題我和官方的答案不一樣

但是從比賽角度而言，看歷史記錄更加準確，出題人的意思是叫我找網站的代理登錄

10

36

檢材 3 中，請對網站代碼進行分析，網站登錄過程中，代碼中對輸入的明文密碼作了追加 () 字符?串處理

(答案格式：??“a1b2c3d4” 區分大小寫)

接上題，找登錄文件，上題的文件招進去。

0v0這個 一行講的就是登錄怎么流程

10

37

檢材?3 中，請對網站代碼進行分析，網站登錄過程中，代碼中調用的動態擴展庫文件的完整名稱為?()

(答案格式： ?“abc.html.ABC” 區分大小寫，半角符號，包含擴展名)

登錄文件的首行，就是這個文件的地址，前面是引用，最后是運行的結構。

dnspy反編譯工具，把dll文件提取出來反編譯找答案。

<%@ page language="C#" autoeventwireup="true" inherits="dr_login_dllogin, App_Web_dllogin.aspx.7d7c2f33" %>

所以說真正的dll文件是后面這個，前面那個是地址是dll文件里的關鍵地址，考試的時候如果直接提交后面這個也是錯，要加上dll動態擴展名。

為了保險起見，就去bin目錄下給她找出來

10

38

檢材 3 中，網站登錄過程中，后臺接收到明文密碼后進行加密處理，首先使用的算法是 Encryption?中?的?() 函數

(答案格式： ?“Bcrypt ” 區分大小寫)

前面找到了動態擴展庫，我發現所有編輯器都打不開dll，之后真的只有dnspy可以打開，

然后我就把這個文件打開了

?然后視圖，找到這個dll是文件地址，然后點擊進入，找到關于登錄的相關界面，看到這里是有

AES和MD5兩種加密方式，但是主要還是AESEncrypt

10

39

檢材 3 中，分析該網站連接的數據庫地址為 () 并使用該地址解壓檢材 4

(答案格式： ?“172. 172.172.172” 半角符號)192.168.1.174

說實話，這題腦洞大的離譜，我就按照官方解給大家仔細演示一下

第一步就是跳轉AES文件，找到函數，就是雙擊

然后AES里面我成功找到了AESdecrypt 也就是解密

我嗎在關于數據庫的DBManager里面找到了

關于數據庫的解密碼，簡而言之就是這樣解密，其實到這里，很多人會去AES網站覺得試一下，因為鑰匙什么都有了，為啥不試試看，但是無奈，因為還有一個MD5，我覺得還有base64的痕跡，所以很麻煩，這里官方解法很騷，就是利用這個環境試試。

可以看到這個是用來DBManger這個dll，所以讓他先在本地運行起來，然后做一遍本地解密過程

10

40

檢材?3 中，網站連接數據庫使用的密碼為 ()

(答案格式：??“Abc123!@#” 字母數字符號組合，區分大小寫)

經過我的努力，發現一定要powershell才可以運行，cmd不行，建議網上下載，然后用的時候在路徑輸入powershell

下圖我就成功添加了路徑

然后聽我細細解說

先是把代碼行復制，然后把前面的Encryption英文[]括號起來，前面加上DBManager，做完了以后再括號后面加兩個引號，就可以解密了，這個建議多嘗試幾次，確實很艱難

10

41

檢材 3 中，網站連接數據庫服務器的端口是 ()

(答案格式： ?“12345” 純數字)

10

請使用第 39 題的答案作為密碼解壓檢材 4 ，分析并回答下列問題

42

檢材 4 的原始磁盤 SHA256 值為 ()

(答案格式：??“abcdefg” 不區分大小寫)

10

43

重構該網站，分析嫌疑用戶的推廣鏈接中參數里包含的 ID?是 ()

(答案格式： ?“a1b2c3d4” 字母數字組合，小寫)

我客觀的說，這是我史上見過最原始的虛擬機

?由于這個虛擬機很原始，xshell一般不是很好

既然用不了，那就裝net-tool命令，稍微安裝一下

在VMware15中配置CentOS 7,yum install -y net-tools vim 安裝net-tool無法成功和無法ping通www.baidu.com問題_入門～猿的博客-CSDN博客_通過yum安裝net—tools報錯r

我在復盤的時候顯示要換源，反正就很煩很煩了，那樣我們只能繼續操作下去

那么就從history開始手搓
看他干了啥，發現最后就是重構網站，這里應該存放了數據庫

?發現很煩，還有docker，關鍵是xshell都連不上，就很煩

先看一看網卡

?網卡信息如圖

?沒有網卡信息很簡單，因為沒有開機自啟 onboot改為yes 然后重啟網路就看得到

?這個時候可以鏈接sxhell

但是我發現一個規律，在遠程鏈接數據庫的時候，如果設置dhcp

那么數據庫里面所有配置文件都要修改，因為原來網站配置文件

所以這種時候，就是固定ip為原來的數據庫ip，然后配置虛擬機網絡

修改玩固定192.168.1.174ip之后發現ping不通

?因為看history，有很多docker 所以看一下docker

?啟動一下

?解釋一下。ms sql其實是selserver的軟件，所以數據庫在docker里面

陷入僵局：題目是20年，所以不需要換源，現在源已經壞了，需要換源，所以這題就要從新配置，把新的源換好，完成一系列安裝，才能進一步操作

但是我遇到了問題，就是在換源之后，不僅無法看端口，而且解密也很難，理論是我們是想在上一個模塊看到數據庫的用戶名和密碼，然后在這一個模塊把數據庫啟動起來

就是這個網站的數據庫是沒有的

但是在檢材4數據庫源有問題的情況下，我覺得是很難在虛擬機里面直接操作換源的，難度非常大，所以還是放棄了。

10

44

重構該網站，該網站后臺的代理用戶數量為 ()

(答案格式： ?“12345” 純數字)

10

45

重構該網站，該網站注冊用戶中共有過 () 個代理 (包含刪除的數據)

(答案格式： ?“12345” 純數字)

10

46

重構該網站，對補發記錄進行統計，統計 2019 年 10 月 1 ?日后補發成功的金額總值 ()?(答案格式： ?“123456” 純數字)

10

47

檢材 4?中，對“TX_IpLog”表進行分析，所有在“武漢市”登錄的次數為 ()

(答案格式： ?“” 純數字)

10

48

重構該網站，該嫌疑人下屬代理“ liyun10”賬戶下的余額有 () 元

(答案格式： ?“123456” 純數字)

10

49

接上一題，該用戶的推廣 ID?是 ()

(答案格式： ?“a1b2c3d4” 字母數字組合，小寫)

10

50

接上一題，該代理商戶的最后一次登陸時間是 ()

(答案格式：??“2020-01-01 21:35” ?精確到秒，半角符號)

10