2023首届盘古石杯晋级赛复盘
后面再给你们搞找potato的数据库,在data里面找到应用对应的数据库文件,盘古石直接导出的db居然是空的把坚果解压后在文件夹里面找,navicat查看,这个里面的数据存在把内容保存出来,全部base64解密a=open('C:\\Users\\五五六六\\Desktop\\1.txt', 'r', encoding='UTF-8')b=open('C:\\Users\\五五六六\\Deskto
晋级赛通排61,学生组39,折在大小写格式上的题太多了qaq
容器密码:usy1UN2Mmgram&^d?0E5r9myrk!cmJGr
Android程序分析
1.涉案应用刷刷樂的签名序列号是(答案格式:123ca12a)(★☆☆☆☆)
11fcf899
雷电APP跑的时候前面加了0x
2.涉案应用刷刷樂是否包含读取短信权限(答案格式:是/否)(★★☆☆☆)
否
3.涉案应用刷刷樂打包封装的调证ID值是(答案格式:123ca12a)(★★☆☆☆)
a6021386163125
4.涉案应用刷刷樂服务器地址域名是(答案格式:axa.baidun.com)(★★★☆☆)
vip.shuadan.com
5.涉案应用刷刷樂是否存在录音行为(答案格式:是/否)(★★★☆☆)
是
雷电APP跑不出来录音权限
6.涉案应用未来资产的包名是(答案格式:axa.baidun.com)(★☆☆☆☆)
plus.h5ce4b30d
7.涉案应用未来资产的语音识别服务的调证key值是(答案格式:1ca2jc)(★★☆☆☆)
53feacdd
8.涉案应用未来资产的服务器地址域名是(答案格式:axa.baidun.com)(★★★☆☆)
vip.usdtre.club
9.涉案应用未来资产的打包封装的调证ID值是是(答案格式:axa.baidun.com)(★★☆☆☆)
h5ce4b30d
移动智能终端取证
容恨寒安卓手机
1.根据容恨寒的安卓手机分析,手机的蓝牙物理地址是(答案格式:B9:8B:35:8B:03:52)(★☆☆☆☆)
A9:8B:34:8B:04:50
2.根据容恨寒的安卓手机分析,SIM卡的ICCID是(答案格式:80891103212348510720)(★☆☆☆☆)
89014103211118510720
3.根据容恨寒的安卓手机分析,团队内部沟通的聊天工具程序名称是(答案格式:微信)(★☆☆☆☆)
Potato
4.根据容恨寒的安卓手机分析,团队内部沟通容恨寒收到的最后一条聊天信息内容是(答案格式:好的)(★★★☆☆)
后面再给你们搞
找potato的数据库,在data里面找到应用对应的数据库文件,盘古石直接导出的db居然是空的
把坚果解压后在文件夹里面找,navicat查看,这个里面的数据存在
把内容保存出来,全部base64解密
import base64
a=open('C:\\Users\\五五六六\\Desktop\\1.txt', 'r', encoding='UTF-8')
b=open('C:\\Users\\五五六六\\Desktop\\12.txt', 'w', encoding='UTF-8')
listOfLines = a.readlines()
for line in listOfLines:
c=line.strip()
d=base64.b64decode(c).decode('utf-8')
b.write(d+'\n')
a.close()
b.close()
题目说的是“容恨寒收到的最后一条聊天信息”,对应TONAME,就是倒数第三行“后面再给你们搞”
5.根据容恨寒的安卓手机分析,收到的刷单.rar的MD5值是(答案格式:
202cb962ac59075b964b07152d234b70)(★★☆☆☆)
dc52d8225fd328c592841cb1c3cd1761
6.根据容恨寒的安卓手机分析,收到的刷单.rar的解压密码是(答案格式:abcdg@1234@hd)(★★★☆☆)
wlzhg@3903@xn
聊天记录里有密码规则
wlzhg@3903@xn成功
7.根据容恨寒的安卓手机分析,发送刷单.rar的用户的手机号是(答案格式:15137321234)(★★★★☆)
15137326185
把body这一列解密
找到刷单.rar
对应的就是这一行,德彦慧
找到
8.根据容恨寒的安卓手机分析,发送多个报表的用户来自哪个部门(答案格式:理财部)(★★★★★)
技术部
这些全是报表
来自臧觅风
臧觅风的id是229
229的部门id是109
109是技术部
9.根据容恨寒的安卓手机分析,MAC的开机密码是(答案格式:asdcz)(★☆☆☆☆)
apple
10.根据容恨寒的安卓手机分析,苹果手机的备份密码前4位是(答案格式:1234)(★☆☆☆☆)
1976
魏文茵苹果手机
11.根据魏文茵苹果手机分析,IMEI号是?(答案格式:239471000325479)(★☆☆☆☆)
358360063200634
12.根据魏文茵苹果手机分析,可能使用过的电话号码不包括?(答案格式:13527821339)(★☆☆☆☆)
A:18043618705 B:19212175391
C:19212159177 D:18200532661
D
AC在苹果手机里
B在安卓手机里
臧觅风的安卓手机
13.根据臧觅风的安卓手机分析,微信ID是(答案格式:wxid_av7b3jbaaht123)(★☆☆☆☆)
wxid_kr7b3jbooht322
14.根据臧觅风的安卓手机分析,在哪里使用过交友软件(答案格式:杭州)(★★★☆☆)
西安
15.根据臧觅风的安卓手机分析,嫌疑人从哪个用户购买的源码,请给出出售源码方的账号(答案格式:1234524229)(★☆☆☆☆)
5768224669
16.根据臧觅风的安卓手机分析,购买源码花了多少BTC?(答案格式:1.21)(★☆☆☆☆)
0.08
17.根据臧觅风的安卓手机分析,接收源码的邮箱是(答案格式:asdasd666@hotmail.com)(★☆☆☆☆)
容恨寒苹果手机
在容恨寒的电脑中有一个手机备份
18.嫌疑人容恨寒苹果手机的IMEI是?(答案格式:2000-01-01)(★★☆☆☆)
353271073008914
19.嫌疑人容恨寒苹果手机最后备份时间是?(答案格式:2000-01-01 13:36:25)(★★☆☆☆)
2023-04-12 21:20:59
20.嫌疑人容恨寒苹果手机“易信”的唯一标识符(UUID)?(答案格式:2000-01-01)(★★★★☆)
00A6A0C7-AD52-4FC2-9064-6D7BE58DBCE6
21.嫌疑人容恨寒苹果手机微信ID是?(答案格式:2000-01-01)(★☆☆☆☆)
04:52:C7:FD:2C:64
这个微信ID,我得到的答案和官方不一样,很奇怪,不知道在哪找的
计算机取证
魏文茵计算机
1.嫌疑人魏文茵计算机的操作系统版本?(答案格式:Windows 7 Ultimate 8603)(★☆☆☆☆)
Windows 10 Professional 14393
2.嫌疑人魏文茵计算机默认的浏览器是?(答案格式:Internet Explorer)(★☆☆☆☆)
A:Edge B:Internet Explorer C:Google ChromeD:360浏览器
C
3.嫌疑人魏文茵计算机中以下那个文档不是嫌疑人最近打开过的文档?(答案格式:D)(★☆☆☆☆)
A:掠夺攻略.docx B:工资表.xlsx C:刷单秘籍.docx
D:脚本.docx
A
4.嫌疑人魏文茵计算机中存在几个加密分区?(答案格式:3个)(★★☆☆☆)
1个
5.嫌疑人魏文茵计算机中安装了哪个第三方加密容器?(答案格式:VeraCrypt))(★☆☆☆☆)
TrueCrypt
6.接上题,嫌疑人魏文茵计算机中加密容器加密后的容器文件路径?(答案格式:C:\xxx\xxx)(★★☆☆☆)
C:\Users\WH\Documents
7.嫌疑人魏文茵计算机中磁盘分区BitLocker加密恢复秘钥为?(答案格式: 000000-000000-000000-000000-000000-000000-000000-000000))(★★★☆☆)
000649-583407-395868-441210-589776-038698-479083-651618
8.嫌疑人魏文茵计算机中BitLocker加密分区中“攻略.docx”文档里涉及多少种诈骗方式?(答案格式:11)(★☆☆☆☆)
38
9.投资理财团伙“华中组”目前诈骗收益大约多少?(答案格式:10万)(★★☆☆☆)
100万
魏文茵计算机内存
10.通过对嫌疑人魏文茵计算机内存分析,print.exe的PID是?(答案格式:123)(★★☆☆☆)
728
不得不说它是真快
臧觅风计算机
半年收益
lima要的马
11.根据臧觅风的计算机分析,请给出技术人员计算机“zang.E01”的SHA-1?(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)(★☆☆☆☆)
239F39E353358584691790DDA5FF49BAA07CFDBB
问的是镜像的SHA-1:239F39E353358584691790DDA5FF49BAA07CFDBB,不是检材的SHA-1
12.根据臧觅风的计算机分析,请给出该技术人员计算机“zang.E01”的总扇区数?(答案格式:100,000,000)(★★☆☆☆)
536,870,912
13.根据臧觅风的计算机分析,以下那个文件不是技术人员通过浏览器下载的?(答案格式:A)(★☆☆☆☆)
A.WeChatSetup.exe
B.aDrive.exe
C.Potato_Desktop2.37.zip
D.BaiduNetdisk_7.27.0.5.exe
D
14.根据臧觅风的计算机分析,请给出该技术人员邮件附件“好东西.zip”解压密码?(答案格式:abc123)(★★★★★)
kangshifu0008
开个代理,把附件下载下来
是网站的源码,和刷单+客服
聊天记录里有相关信息,密码是他邮箱,即kangshifu0008@gmail.com
直接解压不正确,应该是没有后缀,密码的信息存储在TC容器里面,相关分析在后面第19题
15.根据臧觅风的计算机分析,该技术人员电脑内曾通过远程管理工具连接过服务器“master.k8s.com”,请给出连接的端口号?(答案格式:22)(★★☆☆☆)
2282
仿真后SecureCRT里
16.根据臧觅风的计算机分析,接上题,请给出服务器的密码?(答案格式:password(★★★★☆)
P@ssw0rd
17.根据臧觅风的计算机分析,据该技术人员交代,其电脑内有个保存各种密码的txt文件,请找出该文件,计算其MD5值?(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)(★★★★★)
C1934045C3348EA1BA618279AAC38C67
passwords.txt
18.根据臧觅风的计算机分析,该技术人员曾使用过加密容器反取证技术,请给出该容器挂载的盘符?(答案格式:A)(★☆☆☆☆)
F
19.根据臧觅风的计算机分析,请给出该技术人员电脑内keePass的Master Password?(答案格式:password12#)(★★★★☆)
xiaozang123!@#
加密容器,5个G的资料,容器应该就是他
efdd解密
我的efdd不能直接装载,只能将加密容器解密后另存一个镜像文件了
用FTK挂载在本地F盘
成功
里面的新建文本文档就是密码
keepass是密码管理工具,用上图密码打开keepass,得到一些密码
用TC的密码加载名为资料的容器Zang!@#123
里面是这些,tor浏览器指向暗网
20.根据臧觅风的计算机分析,请给出该技术人员所使用的爬虫工具名称?(答案格式:xxx)(★★☆☆☆)
后羿采集器
21.根据臧觅风的计算机分析,接上题,该技术人员通过该采集器一共采集了多少条人员信息数据?[答案格式:10,000][★★★★★]
19,224
官方答案是19,225,不知道差一个在哪
之前在容恨寒手机看到里面有数据,potato
找到,导出
中国证券100
人员信息17
深圳市住房和建设18970
仓山市96
清华大学29
邹平市人民政府12
22.根据臧觅风的计算机分析,以下那个不是该技术人员通过爬虫工具采集的数据?(答案格式:A)(★☆☆☆☆)
A.中国证券投资基金业协人员信息
B.仓山区市场监督管理局行政执法人员信息
C.清平镇卫生院基本公共卫生服务
D.仓山区市场监督管理局行政执法人员信息
C
23.根据臧觅风的计算机分析,该嫌疑人曾浏览过“阿里云WebDAV”,请给出该“阿里云WebDAV”端口号?(答案格式:2211)(★★☆☆☆)
8080
接后面的软路由分析
24.根据臧觅风的计算机分析,请给出该技术人员电脑内代理软件所使用的端口号?(答案格式:2211)(★★☆☆☆)
7890
25.根据臧觅风的计算机分析,接上题,请给出该代理软件内订阅链接的token?(答案格式:abc1234df334…)(★★☆☆☆)
d4029286acc8bfd97818d5f8724f0f0a
26.根据臧觅风的计算机分析,请给出该技术人员电脑内用于内部通联工具的地址和端口?(答案格式:www.baidu.com:1122)(★★★☆☆)
potato双击
臧觅风计算机内存
27.根据臧觅风的计算机分析,请给出该电脑内存镜像创建的时间(北京时间)?(答案格式:2023-05-06 14:00:00)(★☆☆☆☆)
2023-04-27 17:57:53
北京时间UTC+8
28.根据臧觅风的计算机分析,以下那个不是“chrone.exe”的动态链接库?(答案格式:A)(★★★★☆)
A.ntdll.dll
B.iertutil.dll
C.wow64cpu.dll
D.wow64win.dll
B
29.根据臧觅风的计算机分析,请给出“\REGISTRY\MACHINE\SYSTEM”在内存镜像中的虚拟地址是多少?(答案格式:0xxxxx123…)(★★☆☆☆)
0xffffab861963e000
30.根据臧觅风的计算机分析,据嫌疑人交代,其电脑上曾存打开过一个名为“账号信息.docx”的文档,请给出该文档的最后访问时间(北京时间)?(答案格式:2023-05-06 14:00:00)(★★★★☆)
2023-04-27 17:55:32
31.根据臧觅风的计算机分析,接上题,请给出该文档的存储路径?(答案格式:C:\xxx\xxx)(★★★☆☆)
D:\backup\mydata
容恨寒苹果电脑
密码是apple
32.嫌疑人容恨寒苹果电脑的系统版本名称是?(答案格式:注意大小写)(★☆☆☆☆)
macos 12.6
33.嫌疑人容恨寒苹果电脑操作系统安装日期是?(答案格式:2000-01-01)(★★☆☆☆)
2022-10-09
34.嫌疑人容恨寒苹果电脑的内核版本是?(答案格式:xxxxx 11.0.4,注意大小写)(★☆☆☆☆)
Darwin Kernel Version 21.6.0
uname -a
35.嫌疑人容恨寒苹果电脑有多少正在运行的后台程序?(答案格式:20)(★★☆☆☆)
10
不确定,参考(3条消息) 【全网首发最全】首届盘古石杯全国电子数据取证大赛晋级赛write up 2023年奇安信取证比赛 高清截图_奇乃正的博客-CSDN博客
官方答案给的是1,不知道
36.嫌疑人容恨寒苹果电脑最后一次关机时间(GMT)?(答案格式:2000-01-01 01:00:09)(★★☆☆☆)
2023-04-14 07:55:50
last | grep shutdown,2023-04-14 15:55,精确到秒用盘古石计算机跑,但我的一跑就闪退哭死
GMT,还得-8
37.嫌疑人容恨寒苹果电脑执行过多少次查询主机名称命令?(答案格式:20)(★★★☆☆)
15
只有hostname,hostnamectl是修改主机名,单独使用无回显
38.从嫌疑人容恨寒苹果电脑中找出“陆文杰”提现金额是?(答案格式:20)(★★★★☆)
70.8
桌面上华南分区流水是一个rar压缩包,加密的,根据之前的规则解密,wlzhg@????@xn,破不出来,最后看奇乃正的wp发现其实不是xn而是hn,最终爆破出来密码是wlzhg@3698@hn,这一点真的很离谱,感觉是个bug
解压后里面有三个文件
华南区中有金额和最新金额,明显第3行和第5行的最新金额大于金额,所以应该是一个是旧体现一个是新提现,最后全部金额相加
39.从嫌疑人容恨寒苹果电脑中找出嫌疑人容恨寒上午上班时长是?(答案格式:8小时)(★★★★☆)
2.5小时
40.从嫌疑人容恨寒苹果电脑中找出“万便”的邮箱是?(答案格式:xxx@xxx.xx)(★★★★☆)
41.通过分析得出嫌疑人容恨寒小孩的年龄是?(答案格式:10岁)(★★★☆☆)
13岁或者14岁
官方给的答案是6岁,不知道
八年级奥数测试
二进制文件分析
1.根据魏文茵的计算机分析,恶意程序加了什么类型的壳(答案:asdcz)(★★☆☆☆)
upx
查看最近打开的应用
把不确定的几个exe全问一遍,只有print.exe可疑
在虚拟机中找到他
就是他
查壳
2.根据魏文茵的计算机分析,恶意程序调用了几个dll(答案:1)(★★★☆☆)
5
3.根据魏文茵的计算机分析,恶意程序中send函数被多少个函数调用(答案:1)(★★★☆☆)
6
upx脱壳
再次查壳就没有了
ida分析,找到send函数,双击跳转
把光标放在send函数上,点击X键,或者点击view - open subviews - cross references,就会显示出交叉引用的函数挡xrefs to
6个
或者绘图,view - graphs - xrefs to,绘图更直观感觉
4.根据魏文茵的计算机分析,恶意程序远控端ip(答案:120.1.2.3)(★★☆☆☆)
192.168.8.110
main函数F5
5.根据魏文茵的计算机分析,恶意程序远控端端口(答案:123)(★★☆☆☆)
6096
大圣沙箱牛逼大圣云沙箱检测系统 (vulbox.com)
奇安信牛逼
6.根据魏文茵的计算机分析,恶意程序用到是tcp还是udp(★★★☆☆)
A.tcp
B.udp
A
把main函数的伪代码用chatgpt查询一下
显示是TCP连接
7.根据魏文茵的计算机分析,恶意程序能执行几条命令(答案:123)(★★★★☆)
5
8.根据魏文茵的计算机分析,恶意程序加密电脑文件对应是哪个命令(答案:1a)(★★★☆☆)
6s
main函数
看下一题加密函数是sub_45EF40,可以推测出哪个命令调用的函数指向sub_45EF40,哪个命令就是
6s对应的sub_45B4B7,双击跳转到sub_460410
再跳转到 sub_45978E();
再跳转到sub_45FE10
再跳转到sub_4586E0、sub_458555
sub_4586E0双击跳转到sub_45EF40
跳转到sub_45EF40,到达加密文件函数,命令就是6s
9.(多选题)根据魏文茵的计算机分析,恶意程序加密哪些后缀文件(★★★☆☆)
A.docx
B.xlsx
C.pdf
D.doc
ABCD
strings窗口搜索xlsx
双击跳转,指向的函数是sub_45EF40
在function窗口中搜索这个函数,之后F5
代码
10.根据魏文茵的计算机分析,编写该程序电脑的用户名是(答案:12345)(★★★★★)
22383
11.嫌疑人魏文茵计算机中“工资表.xlsx”中,发放工资总金额为:(答案格式:12345))(★★★★★)
44300
暗网取证
分析:计算机取证第19题
1.臧觅风电脑使用暗网浏览器版本是?(答案格式:10.0.0)(★☆☆☆☆)
12.0.4
根据快捷方式打开暗网浏览器
2.臧觅风电脑使用的暗网浏览器历史记录中最多浏览内容是?(答案格式:制作)(★★☆☆☆)
比特币市场
浏览器历史,直接用火眼-添加物理磁盘,分析TC挂载上的盘得了
3.臧觅风电脑使用的暗网网浏览器书签“社工库”添加的时间是?(答案格式:2000-01-01 01:00:09)(★★★★☆)
2022-05-27 21:49:33
4.臧觅风电脑使用的暗网浏览器第一次使用时间是?(答案格式:2000-01-01 01:00:09)(★★★☆☆)
2023-04-12 10:19:06
5.臧觅风电脑使用的暗网浏览器扩展应用中“ftp.js”文件的md5值是?(答案格式:字母小写)(★★★★★)
ea86403d1de3089b3d32fe5706d552f6
插件安装在"G:\Tor Browser\Tor Browser\Browser\TorBrowser\Data\Browser\profile.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi"
直接解压xpi,在"G:\Tor Browser\Tor Browser\Browser\TorBrowser\Data\Browser\profile.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}\content\ftp.js"
物联取证
1.请给出该软路由管理的IP地址?(答案格式:192.168.1.1)(★☆☆☆☆)
192.168.8.20
仿真
2.请给出该软路由管理员的密码?(答案格式:admin123!@#)(★★★☆☆)
P@ssw0rd
计算机取证16题P@ssw0rd
【笔记】openwrt - 分析web首页(/cgi-bin/luci)访问流程:nginx、uWSGI、lua_openwrt nginx_骆言的博客-CSDN博客
改了一下本地网络,使其在同一网段内
访问192.168.8.20/cgi-bin/luci,后面加上openwrt的web首页
用户名是root,密码是P@ssw0rd,成功登录
3.请给出阿里云WebDAV的token?(答案格式:bac123sasdew3212…)(★★☆☆☆)
afc455bdc29a45b18f3bae5048971e76
4.请给出该软路由所用机场订阅的token?(答案格式:bac123sasdew3212…)(★★☆☆☆)
502f6affe3c7deb071d65fb43effc06d
ShadowSocksR Plus+
5.请给出该软路由数据卷的UUID?(答案格式:8adn28hd-00c0c0c0…)(★★☆☆☆)
9a89a5ec-dae6-488a-84bf-80a67388ff37
或者使用blkid命令查看分区idOpenWrt软路由空间扩容_openwrt 扩容_ls0111的博客-CSDN博客
6.请给出该软路由的共享路径?(答案格式:/home/data)(★★☆☆☆)
/mnt/data
SMB(Server Messages Block)协议:实现局域网内文件或打印机等资源共享服务的协议。Samba服务程序是一款基于SMB协议并由服务端和客户端组成的开源文件共享软件,实现了Linux与Windows系统间的文件共享。
查看samba配置文件
服务-网络共享也能看到
服务器取证
分析
打开文件管理器,没启动,启动一下
默认的用户名和密码是admin、admin,进去了
在上题的共享文件路径/mnt/data中找到了IM文件夹
打开是虚拟机文件,全部下载下来
用盘古石仿真一下
进去了,但是缺失很多东西
直接启动vmx文件,发现密码,这玩意是个vc加密的vmx,找密码
在Windows Server 2019-000003.vmdk最近访问的项目中发现txt痕迹,发现密码123w.pgscup.com
输入123w.pgscup.com、P@ssw0rd,进去了,数据没丢
1.请给出IM服务器的当前Build版本?(答案格式:11111)(★☆☆☆☆)
17763
systeminfo
2.请给出IM聊天服务的启动密码?(答案格式:3w.Baidu.com)(★★★★★)
见分析
3.请给出该聊天服务器所用的PHP版本?(答案格式:7.2.5)(★★★★☆)
7.4.32
4.请给出该服务器所用的数据库类型及版本?(答案格式:mysql 5.7.1)(★★★★★)
mysql 10.4.12
直接搜mysql.exe
5.请给出该服务器MySQL数据库root账号的密码?(答案格式:3w.baidu.com)(★★★★★)
桌面上有个IM管理台,是个网站
不知道用户名和密码
打开所在文件夹
拖出来直接搜config.php,快多了
6.请给该IM服务器内当前企业所使用的数据库?(答案格式:admin_admin)(★★★★☆)
antdbms_usdtreclub
先启动一下mysql
输入上题得到的用户名密码进入mysql,有两个数据库
先看上题指向的数据库名antdbms,输入用户名root和密码www.upsoft01.com,进入查找网站的用户名和密码,密码解不出来,改密码,看密码长度是32位小写
123md5(32位小写)加密是202cb962ac59075b964b07152d234b70
update sys_admin set USER_PWD="202cb962ac59075b964b07152d234b70" where USERR_ID=1;
admin,123登进去了
找到企业所使用的数据库antdbms_usdtreclub
7.请给出该组织“usdtreclub”内共有多少个部门(不含分区)?(答案格式:1)(★★★☆☆)
5
potato的数据库里面
登录上网站后台后能直接看
8.客户端消息传输采用哪种加密形式?(答案格式:A)(★★☆☆☆)
A.AES128
B.AES256
C.DES
D.Base64
B
唯一的一个企业,点击控制台
要登录,用户名有了现在要找密码
在网站架构中找密码,找到了md5值,解不开c37bd328f1e928eb4c74703d444895bf,付费记录,只能修改密码了
想用navicat连接mysql,虚拟机改为nat,防火墙改掉,双向都能ping通了
连接企业用的数据库antdbms_usdtreclub,用navicat连接死活连不上,网探还得是你啊(记得开启虚拟机的远程连接功能,在系统属性里面)
老样子,改成123,md5是202cb962ac59075b964b07152d234b70
进去了,顺便把其他管理员的密码也改了,都改成123,不同权限的管理员能看到的内容应该不一样
客户端,消息传输,AES256
9.以下那个不是此系统提供的应用?(答案格式:A)(★★☆☆☆)
A.云盘
B.审批
C.会议
D.考勤
D
后台也能看出来
10.请给出“ 2023-04-11 21:48:14”登录成功此系统的用户设备MAC地址?(答案格式:08-AA-33-DF-1A)(★★★☆☆)
80-B6-55-EF-90-8E
登录超级管理员,查找登录日志
11.请给出用户“卢正文”的手机号码?(答案格式:13888888888)(★★★★☆)
13580912153
集群服务器取证
分析
三个镜像一个一个仿真
server01:192.168.91.171
server02:192.168.91.172
server03:192.168.91.173
三个的关系是一个master,两个node
火眼跑一下发现还有一个网卡是ens34,192.168.8.171,进去./etc/sysconfig/network-scripts查看,每一个虚拟机都是两张网卡,ens33和ens34
192.168.91.171和192.168.8.171,同一网段内,更改ifcfg-ens33、ifcfg-ens34网卡的网关为192.168.0.1,子网掩码为16,更改虚拟网络编辑器
添加第二张网卡
ip a查看发现新添加的网卡为ens36
更改ens34网卡名称为ens36,最终效果是
三个虚拟机均这样更改,更改后,三台虚拟机和主机均能相互ping通
使用xshell连接三台虚拟机,server01的ssh端口号是2282,server02和server03的还是22,仿真时直接把密码清除了,使用passwd命令再加个密码就行
查看历史命令发现还需挂载一下,通过nfs将master的www挂载到本地www,两个node都需要
192.168.8.171现在是192.168.128.0
mount通过NFS挂载_mount nfs_田小呱的博客-CSDN博客
kubectl get nodes -o wide查看节点信息
kubectl get pods --all-namespaces查看所有名称空间的pods
1.请给出集群master节点的内核版本?(答案格式:2.6.0-104.e11.x86_64)(★☆☆☆☆)
3.10.0-957.el7.x86_64
2.请给出该集群的pod网络?(答案格式:192.168.0.0/24)(★★★★☆)
10.244.0.0/16
kubectl get configmap kubeadm-config -n kube-system -o yaml
查看当前k8s集群中 pod 和 service 网段信息
3.请给出该集群所用的网络插件?(答案格式:abcd)(★★☆☆☆)
calico
网络插件有
k8s入坑之路(9)k8s网络插件详解 - 大辉哥 - 博客园 (cnblogs.com)
kubectl get pod --all-namespaces查看所有名称空间的pods
4.默认ns除外,本集群共有多少个ns?(答案格式:1)(★★★☆☆)
8
kubectl get namespaces查看所有namespace
5.请给出该集群的集群IP?(答案格式:192.168.0.0)(★★☆☆☆)
192.168.91.171
kubectl cluster-info 查看集群信息
6.请给出该ns为“licai”svc为“php-svc”的访问类型?(答案格式:Abc)(★★☆☆☆)
NodePort
kubectl get services --all-namespaces查看所有服务
7.请给出ns为“shuadan”下的的PHP版本?(答案格式:1.1)(★★★★★)
7.2
查看所有命名空间中的pods:kubectl get pods -A
查看shuadan下的pod:kubectl get pods --namespace=shuadan
kubectl describe pod php-deploy-7d9648677d-dbm66 --namespace=shuadan
输出指定资源的详细信息
过滤php更快,kubectl describe pod php-deploy-7d9648677d-dbm66 --namespace=shuadan | grep php
8.请给出本机集群所使用的私有仓库地址?(答案格式:192.168.0.0)(★★★★☆)
192.168.8.12
Kubernetes 集群所使用的私有仓库地址通常存储在集群中的 Secret 中,可以通过以下步骤查看:
在终端中登录到 Kubernetes 集群的控制节点。
运行以下命令查看已经存在的 Secret:
kubectl get secrets
找到名为 imagepullsecret
(或其他自定义名称)的 Secret,运行以下命令查看其详细信息:
kubectl describe secret imagepullsecret
在输出结果中,找到 dockerconfigjson
字段,其中包含了私有仓库的地址、用户名和密码等信息。可以将其解码后查看:
kubectl get secret imagepullsecret -o jsonpath="{.data.\.dockerconfigjson}" | base64 --decode
若在 Windows 系统上执行以上命令,可以使用 PowerShell 代替 base64
命令:
kubectl get secret imagepullsecret -o jsonpath="{.data.\.dockerconfigjson}" | %{[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($_))}
解码后的输出结果为一个 JSON 字符串,其中包含了所使用的私有仓库地址。
9.接上题,请给出登录该私有仓库所用的token?(答案格式:bae213ionada21…)(★★★★★)
dXNlcjozVy5wZ3NjdXAuY29t
见上题,解密是user:3W.pgscup.com
10.请给出“licaisite”持久化存储的大小?(答案格式:10G)(★★☆☆☆)
6G
licaisite-pvc查看持久化存储
11.接上题,请给出对应的存储持久化声明名称?(答案格式:abc-abc)(★★★☆☆)
licaisite-pvc
kubectl describe pv licaisite查看持久化存储详细信息
12.请给出集群内部署网站所使用数据库的IP地址和端口号?(答案格式:192.168.0.0:8080)(★★★☆☆)
61.150.31.142:3306
数据库在./www下面
直接通过xshell连接xftp
直接把www文件夹拖出来,查看数据库配置文件
kefu是61.150.31.142:3306
licai也是61.150.31.142:3306
刷单也是61.150.31.142:3306,具体解密过程见14题
13.请给出网站“vip.kefu.com”所使用的端口号?(答案格式:8080)(★★☆☆☆)
8083
14.请给出网站“vip.shuadan.com”连接数据库所使用的账号和密码?(答案格式root/password)(★★★★★)
vip.shuadan.com/nFRrSNh6Msnbtpay
打开其database.php配置文件,发现不对劲,应该是加密了的
eval改为echo,打印前面的部分,发现后面的部分是base64加密了的
解密后再次eval改为echo打印
解密成功
?><?php
// +----------------------------------------------------------------------
// | ThinkAdmin
// +----------------------------------------------------------------------
// | 版权所有 2014~2019 广州楚才信息科技有限公司 [ http://www.cuci.cc ]
// +----------------------------------------------------------------------
// | 官方网站: http://demo.thinkadmin.top
// +----------------------------------------------------------------------
// | 开源协议 ( https://mit-license.org )
// +----------------------------------------------------------------------
// | gitee 开源项目:ThinkAdmin: 基于 ThinkPHP6 的极简后台管理系统,内置注解权限、异步多任务、应用插件生态等,支持类 PaaS 更新公共模块和应用插件,插件可本地化定制开发。
// | github开源项目:GitHub - zoujingli/ThinkAdmin: 基于 ThinkPHP6 的极简后台管理系统,内置注解权限、异步多任务、应用插件生态等,支持类 PaaS 更新公共模块和应用插件,插件可本地化定制开发。
// +----------------------------------------------------------------------
return [
// 数据库调试模式
'debug' => true,
// 数据库类型
'type' => 'mysql',
// 服务器地址
'hostname' => '61.150.31.142',
// 'hostname' => '127.0.0.1',
// 数据库名
'database' => 'vip.shuadan.com',
// 用户名
'username' => 'vip.shuadan.com',
// 密码
'password' => 'nFRrSNh6Msnbtpay',
// 编码
'charset' => 'utf8mb4',
// 端口
'hostport' => '3306',
// 主从
'deploy' => 0,
// 分离
'rw_separate' => false,
];
数据库
数据库/data.tar
15.请给出调证数据库的版本号?(答案格式5.7.1)(★★★★★)
5.6.50
16.请给出刷单网站客服域名?(答案格式:http://www.baidu.com:8080/login.html)(★★★★★)
shuadan网站重构
数据库是data文件夹,网站源码就是www文件夹
配置数据库
启动mysql,5.7.26
把启动的mysql下的data文件夹整个替换掉
跳过密码
配置网站
新建网站vip.shuadan.com,php是5.6.9
替换源代码
网站根目录是public,图标都在public里面
伪静态配置(3条消息) 服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_Grignard_的博客-CSDN博客
apache的伪静态
<IfModule mod_rewrite.c>
Options +FollowSymlinks -Multiviews
RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php?/$1 [QSA,PT,L]
</IfModule>
nginx的伪静态
if (!-e $request_filename) {
rewrite ^(.*)$ /index.php?s=/$1 last;
break;
}
更改database配置文件,更改服务器地址和用户名
访问网站
kefu网站重构
配置网站
php5.6.9,端口是8083
伪静态
网站根目录是public
更改配置文件
到这步应该就访问成功了,但是我的报错啊呜呜呜,不知道哪出错了
licai网站重构
配置网站404,不知道为什么卡在这里,试了好几次,不得其解,放弃
17.请给出理财客服系统用户“admin”共有多少个会话窗口?(答案格式:123)(★★★★★)
8
18.刷单客服是嵌套在刷单源码下那个文件内,请给出该文件在网站源码内的目录和文件名?(答案格式:www.baidu.com:8080/login.html)(★★★★★)
/application/index/view/user/user.html
在刷单个人中心里,admin,123456登录用户
在线客服可以跳转到kefu网站里
根据这个网站搜索
19.请统计出刷单网站后台累计提现成功的金额?(答案格式:1000)(★☆☆☆☆)
7611
后台是/admin_2019
weiliang的密码解出来是123456
20.请给出受害人上级的电话号码?(答案格式:13888888888)(★★★☆☆)
18727164573
21.请给出刷单网站受害人加款的时间(北京时间)?(答案格式:2023-05-06 14:00:00)(★★★☆☆)
2023-04-12 14:57:32
22.该理财网站曾经被挂马,请给出上传木马者的IP?(答案格式:192.168.10.10)(★★★☆☆)
103.177.44.10
扫描整个site目录,在shuadan里面
查看log
23.接上题,请找到此木马,计算该木马的md5?(答案格式:123dadgadad332…)(★★★☆☆)
339c925222a41011ac1a7e55ec408202
24.请统计该投资理财平台累计交易额为多少亿?(答案格式:1.8)(★★☆☆☆)
1.42
25.请给出该虚拟币投资平台内用户“李国斌”的银行卡号?(答案格式:622222222222222)(★★★☆☆)
6212260808001710173
26.分析该虚拟币投资平台财务明细表,用户“13912345678”共支出多少钱(cnc), 结果保留两位小数?(答案格式:10000.00)(★★★★★)
24817.99
开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!
更多推荐
所有评论(0)