晋级赛通排61,学生组39,折在大小写格式上的题太多了qaq

容器密码:usy1UN2Mmgram&^d?0E5r9myrk!cmJGr

Android程序分析

1.涉案应用刷刷樂的签名序列号是(答案格式:123ca12a)(★☆☆☆☆)

11fcf899

雷电APP跑的时候前面加了0x

2.涉案应用刷刷樂是否包含读取短信权限(答案格式:是/否)(★★☆☆☆)

3.涉案应用刷刷樂打包封装的调证ID值是(答案格式:123ca12a)(★★☆☆☆)

a6021386163125

4.涉案应用刷刷樂服务器地址域名是(答案格式:axa.baidun.com)(★★★☆☆)

vip.shuadan.com

5.涉案应用刷刷樂是否存在录音行为(答案格式:是/否)(★★★☆☆)

雷电APP跑不出来录音权限

6.涉案应用未来资产的包名是(答案格式:axa.baidun.com)(★☆☆☆☆)

plus.h5ce4b30d

7.涉案应用未来资产的语音识别服务的调证key值是(答案格式:1ca2jc)(★★☆☆☆)

53feacdd

8.涉案应用未来资产的服务器地址域名是(答案格式:axa.baidun.com)(★★★☆☆)

vip.usdtre.club

9.涉案应用未来资产的打包封装的调证ID值是是(答案格式:axa.baidun.com)(★★☆☆☆)

h5ce4b30d

移动智能终端取证

容恨寒安卓手机

1.根据容恨寒的安卓手机分析,手机的蓝牙物理地址是(答案格式:B9:8B:35:8B:03:52)(★☆☆☆☆)

A9:8B:34:8B:04:50

2.根据容恨寒的安卓手机分析,SIM卡的ICCID是(答案格式:80891103212348510720)(★☆☆☆☆)

89014103211118510720

3.根据容恨寒的安卓手机分析,团队内部沟通的聊天工具程序名称是(答案格式:微信)(★☆☆☆☆)

Potato

4.根据容恨寒的安卓手机分析,团队内部沟通容恨寒收到的最后一条聊天信息内容是(答案格式:好的)(★★★☆☆)

后面再给你们搞

找potato的数据库,在data里面找到应用对应的数据库文件,盘古石直接导出的db居然是空的

把坚果解压后在文件夹里面找,navicat查看,这个里面的数据存在

把内容保存出来,全部base64解密

import base64
a=open('C:\\Users\\五五六六\\Desktop\\1.txt', 'r', encoding='UTF-8')
b=open('C:\\Users\\五五六六\\Desktop\\12.txt', 'w', encoding='UTF-8')


listOfLines  =  a.readlines()
for  line in  listOfLines:
    c=line.strip()
    d=base64.b64decode(c).decode('utf-8')
    b.write(d+'\n')


a.close()
b.close()

题目说的是“容恨寒收到的最后一条聊天信息”,对应TONAME,就是倒数第三行“后面再给你们搞”

5.根据容恨寒的安卓手机分析,收到的刷单.rar的MD5值是(答案格式:

202cb962ac59075b964b07152d234b70)(★★☆☆☆)

dc52d8225fd328c592841cb1c3cd1761

6.根据容恨寒的安卓手机分析,收到的刷单.rar的解压密码是(答案格式:abcdg@1234@hd)(★★★☆☆)

wlzhg@3903@xn

聊天记录里有密码规则

wlzhg@3903@xn成功

7.根据容恨寒的安卓手机分析,发送刷单.rar的用户的手机号是(答案格式:15137321234)(★★★★☆)

15137326185

把body这一列解密

找到刷单.rar

对应的就是这一行,德彦慧

找到

8.根据容恨寒的安卓手机分析,发送多个报表的用户来自哪个部门(答案格式:理财部)(★★★★★)

技术部

这些全是报表

来自臧觅风

臧觅风的id是229

229的部门id是109

109是技术部

9.根据容恨寒的安卓手机分析,MAC的开机密码是(答案格式:asdcz)(★☆☆☆☆)

apple

10.根据容恨寒的安卓手机分析,苹果手机的备份密码前4位是(答案格式:1234)(★☆☆☆☆)

1976

魏文茵苹果手机

11.根据魏文茵苹果手机分析,IMEI号是?(答案格式:239471000325479)(★☆☆☆☆)

358360063200634

12.根据魏文茵苹果手机分析,可能使用过的电话号码不包括?(答案格式:13527821339)(★☆☆☆☆)

A:18043618705 B:19212175391

C:19212159177 D:18200532661

D

AC在苹果手机里

B在安卓手机里

臧觅风的安卓手机

13.根据臧觅风的安卓手机分析,微信ID是(答案格式:wxid_av7b3jbaaht123)(★☆☆☆☆)

wxid_kr7b3jbooht322

14.根据臧觅风的安卓手机分析,在哪里使用过交友软件(答案格式:杭州)(★★★☆☆)

西安

15.根据臧觅风的安卓手机分析,嫌疑人从哪个用户购买的源码,请给出出售源码方的账号(答案格式:1234524229)(★☆☆☆☆)

5768224669

16.根据臧觅风的安卓手机分析,购买源码花了多少BTC?(答案格式:1.21)(★☆☆☆☆)

0.08

17.根据臧觅风的安卓手机分析,接收源码的邮箱是(答案格式:asdasd666@hotmail.com)(★☆☆☆☆)

molihuacha007@hotmail.com

容恨寒苹果手机

在容恨寒的电脑中有一个手机备份

18.嫌疑人容恨寒苹果手机的IMEI是?(答案格式:2000-01-01)(★★☆☆☆)

353271073008914

19.嫌疑人容恨寒苹果手机最后备份时间是?(答案格式:2000-01-01 13:36:25)(★★☆☆☆)

2023-04-12 21:20:59

20.嫌疑人容恨寒苹果手机“易信”的唯一标识符(UUID)?(答案格式:2000-01-01)(★★★★☆)

00A6A0C7-AD52-4FC2-9064-6D7BE58DBCE6

21.嫌疑人容恨寒苹果手机微信ID是?(答案格式:2000-01-01)(★☆☆☆☆)

04:52:C7:FD:2C:64

这个微信ID,我得到的答案和官方不一样,很奇怪,不知道在哪找的

计算机取证

魏文茵计算机

1.嫌疑人魏文茵计算机的操作系统版本?(答案格式:Windows 7 Ultimate 8603)(★☆☆☆☆)

Windows 10 Professional 14393

2.嫌疑人魏文茵计算机默认的浏览器是?(答案格式:Internet Explorer)(★☆☆☆☆)

A:Edge B:Internet Explorer C:Google ChromeD:360浏览器

C

3.嫌疑人魏文茵计算机中以下那个文档不是嫌疑人最近打开过的文档?(答案格式:D)(★☆☆☆☆)

A:掠夺攻略.docx B:工资表.xlsx C:刷单秘籍.docx

D:脚本.docx

A

4.嫌疑人魏文茵计算机中存在几个加密分区?(答案格式:3个)(★★☆☆☆)

1个

5.嫌疑人魏文茵计算机中安装了哪个第三方加密容器?(答案格式:VeraCrypt))(★☆☆☆☆)

TrueCrypt

6.接上题,嫌疑人魏文茵计算机中加密容器加密后的容器文件路径?(答案格式:C:\xxx\xxx)(★★☆☆☆)

C:\Users\WH\Documents

7.嫌疑人魏文茵计算机中磁盘分区BitLocker加密恢复秘钥为?(答案格式: 000000-000000-000000-000000-000000-000000-000000-000000))(★★★☆☆)

000649-583407-395868-441210-589776-038698-479083-651618

8.嫌疑人魏文茵计算机中BitLocker加密分区中“攻略.docx”文档里涉及多少种诈骗方式?(答案格式:11)(★☆☆☆☆)

38

9.投资理财团伙“华中组”目前诈骗收益大约多少?(答案格式:10万)(★★☆☆☆)

100万

魏文茵计算机内存

10.通过对嫌疑人魏文茵计算机内存分析,print.exe的PID是?(答案格式:123)(★★☆☆☆)

728

不得不说它是真快

臧觅风计算机

半年收益

lima要的马

11.根据臧觅风的计算机分析,请给出技术人员计算机“zang.E01”的SHA-1?(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)(★☆☆☆☆)

239F39E353358584691790DDA5FF49BAA07CFDBB

问的是镜像的SHA-1:239F39E353358584691790DDA5FF49BAA07CFDBB,不是检材的SHA-1

12.根据臧觅风的计算机分析,请给出该技术人员计算机“zang.E01”的总扇区数?(答案格式:100,000,000)(★★☆☆☆)

536,870,912

13.根据臧觅风的计算机分析,以下那个文件不是技术人员通过浏览器下载的?(答案格式:A)(★☆☆☆☆)

A.WeChatSetup.exe

B.aDrive.exe

C.Potato_Desktop2.37.zip

D.BaiduNetdisk_7.27.0.5.exe

D

14.根据臧觅风的计算机分析,请给出该技术人员邮件附件“好东西.zip”解压密码?(答案格式:abc123)(★★★★★)

kangshifu0008

开个代理,把附件下载下来

是网站的源码,和刷单+客服

聊天记录里有相关信息,密码是他邮箱,即kangshifu0008@gmail.com

直接解压不正确,应该是没有后缀,密码的信息存储在TC容器里面,相关分析在后面第19题

15.根据臧觅风的计算机分析,该技术人员电脑内曾通过远程管理工具连接过服务器“master.k8s.com”,请给出连接的端口号?(答案格式:22)(★★☆☆☆)

2282

仿真后SecureCRT里

16.根据臧觅风的计算机分析,接上题,请给出服务器的密码?(答案格式:password(★★★★☆)

P@ssw0rd

17.根据臧觅风的计算机分析,据该技术人员交代,其电脑内有个保存各种密码的txt文件,请找出该文件,计算其MD5值?(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)(★★★★★)

C1934045C3348EA1BA618279AAC38C67

passwords.txt

18.根据臧觅风的计算机分析,该技术人员曾使用过加密容器反取证技术,请给出该容器挂载的盘符?(答案格式:A)(★☆☆☆☆)

F

19.根据臧觅风的计算机分析,请给出该技术人员电脑内keePass的Master Password?(答案格式:password12#)(★★★★☆)

xiaozang123!@#

加密容器,5个G的资料,容器应该就是他

efdd解密

我的efdd不能直接装载,只能将加密容器解密后另存一个镜像文件了

用FTK挂载在本地F盘

成功

里面的新建文本文档就是密码

keepass是密码管理工具,用上图密码打开keepass,得到一些密码

用TC的密码加载名为资料的容器Zang!@#123

里面是这些,tor浏览器指向暗网

20.根据臧觅风的计算机分析,请给出该技术人员所使用的爬虫工具名称?(答案格式:xxx)(★★☆☆☆)

后羿采集器

21.根据臧觅风的计算机分析,接上题,该技术人员通过该采集器一共采集了多少条人员信息数据?[答案格式:10,000][★★★★★]

19,224

官方答案是19,225,不知道差一个在哪

之前在容恨寒手机看到里面有数据,potato

找到,导出

中国证券100

人员信息17

深圳市住房和建设18970

仓山市96

清华大学29

邹平市人民政府12

22.根据臧觅风的计算机分析,以下那个不是该技术人员通过爬虫工具采集的数据?(答案格式:A)(★☆☆☆☆)

A.中国证券投资基金业协人员信息

B.仓山区市场监督管理局行政执法人员信息

C.清平镇卫生院基本公共卫生服务

D.仓山区市场监督管理局行政执法人员信息

C

23.根据臧觅风的计算机分析,该嫌疑人曾浏览过“阿里云WebDAV”,请给出该“阿里云WebDAV”端口号?(答案格式:2211)(★★☆☆☆)

8080

接后面的软路由分析

24.根据臧觅风的计算机分析,请给出该技术人员电脑内代理软件所使用的端口号?(答案格式:2211)(★★☆☆☆)

7890

25.根据臧觅风的计算机分析,接上题,请给出该代理软件内订阅链接的token?(答案格式:abc1234df334…)(★★☆☆☆)

d4029286acc8bfd97818d5f8724f0f0a

26.根据臧觅风的计算机分析,请给出该技术人员电脑内用于内部通联工具的地址和端口?(答案格式:www.baidu.com:1122)(★★★☆☆)

im.pgscup.com:6661

potato双击

臧觅风计算机内存

27.根据臧觅风的计算机分析,请给出该电脑内存镜像创建的时间(北京时间)?(答案格式:2023-05-06 14:00:00)(★☆☆☆☆)

2023-04-27 17:57:53

北京时间UTC+8

28.根据臧觅风的计算机分析,以下那个不是“chrone.exe”的动态链接库?(答案格式:A)(★★★★☆)

A.ntdll.dll

B.iertutil.dll

C.wow64cpu.dll

D.wow64win.dll

B

29.根据臧觅风的计算机分析,请给出“\REGISTRY\MACHINE\SYSTEM”在内存镜像中的虚拟地址是多少?(答案格式:0xxxxx123…)(★★☆☆☆)

0xffffab861963e000

30.根据臧觅风的计算机分析,据嫌疑人交代,其电脑上曾存打开过一个名为“账号信息.docx”的文档,请给出该文档的最后访问时间(北京时间)?(答案格式:2023-05-06 14:00:00)(★★★★☆)

2023-04-27 17:55:32

31.根据臧觅风的计算机分析,接上题,请给出该文档的存储路径?(答案格式:C:\xxx\xxx)(★★★☆☆)

D:\backup\mydata

容恨寒苹果电脑

密码是apple

32.嫌疑人容恨寒苹果电脑的系统版本名称是?(答案格式:注意大小写)(★☆☆☆☆)

macos 12.6

33.嫌疑人容恨寒苹果电脑操作系统安装日期是?(答案格式:2000-01-01)(★★☆☆☆)

2022-10-09

34.嫌疑人容恨寒苹果电脑的内核版本是?(答案格式:xxxxx 11.0.4,注意大小写)(★☆☆☆☆)

Darwin Kernel Version 21.6.0

uname -a

35.嫌疑人容恨寒苹果电脑有多少正在运行的后台程序?(答案格式:20)(★★☆☆☆)

10

不确定,参考(3条消息) 【全网首发最全】首届盘古石杯全国电子数据取证大赛晋级赛write up 2023年奇安信取证比赛 高清截图_奇乃正的博客-CSDN博客

官方答案给的是1,不知道

36.嫌疑人容恨寒苹果电脑最后一次关机时间(GMT)?(答案格式:2000-01-01 01:00:09)(★★☆☆☆)

2023-04-14 07:55:50

last | grep shutdown,2023-04-14 15:55,精确到秒用盘古石计算机跑,但我的一跑就闪退哭死

GMT,还得-8

37.嫌疑人容恨寒苹果电脑执行过多少次查询主机名称命令?(答案格式:20)(★★★☆☆)

15

只有hostname,hostnamectl是修改主机名,单独使用无回显

38.从嫌疑人容恨寒苹果电脑中找出“陆文杰”提现金额是?(答案格式:20)(★★★★☆)

70.8

桌面上华南分区流水是一个rar压缩包,加密的,根据之前的规则解密,wlzhg@????@xn,破不出来,最后看奇乃正的wp发现其实不是xn而是hn,最终爆破出来密码是wlzhg@3698@hn,这一点真的很离谱,感觉是个bug

解压后里面有三个文件

华南区中有金额和最新金额,明显第3行和第5行的最新金额大于金额,所以应该是一个是旧体现一个是新提现,最后全部金额相加

39.从嫌疑人容恨寒苹果电脑中找出嫌疑人容恨寒上午上班时长是?(答案格式:8小时)(★★★★☆)

2.5小时

40.从嫌疑人容恨寒苹果电脑中找出“万便”的邮箱是?(答案格式:xxx@xxx.xx)(★★★★☆)

IxCnq3@yDp.net

41.通过分析得出嫌疑人容恨寒小孩的年龄是?(答案格式:10岁)(★★★☆☆)

13岁或者14岁

官方给的答案是6岁,不知道

八年级奥数测试

二进制文件分析

1.根据魏文茵的计算机分析,恶意程序加了什么类型的壳(答案:asdcz)(★★☆☆☆)

upx

查看最近打开的应用

把不确定的几个exe全问一遍,只有print.exe可疑

在虚拟机中找到他

就是他

查壳

2.根据魏文茵的计算机分析,恶意程序调用了几个dll(答案:1)(★★★☆☆)

5

3.根据魏文茵的计算机分析,恶意程序中send函数被多少个函数调用(答案:1)(★★★☆☆)

6

upx脱壳

再次查壳就没有了

ida分析,找到send函数,双击跳转

把光标放在send函数上,点击X键,或者点击view - open subviews - cross references,就会显示出交叉引用的函数挡xrefs to

6个

或者绘图,view - graphs - xrefs to,绘图更直观感觉

4.根据魏文茵的计算机分析,恶意程序远控端ip(答案:120.1.2.3)(★★☆☆☆)

192.168.8.110

main函数F5

5.根据魏文茵的计算机分析,恶意程序远控端端口(答案:123)(★★☆☆☆)

6096

大圣沙箱牛逼大圣云沙箱检测系统 (vulbox.com)

奇安信牛逼

6.根据魏文茵的计算机分析,恶意程序用到是tcp还是udp(★★★☆☆)

A.tcp

B.udp

A

把main函数的伪代码用chatgpt查询一下

显示是TCP连接

7.根据魏文茵的计算机分析,恶意程序能执行几条命令(答案:123)(★★★★☆)

5

8.根据魏文茵的计算机分析,恶意程序加密电脑文件对应是哪个命令(答案:1a)(★★★☆☆)

6s

main函数

看下一题加密函数是sub_45EF40,可以推测出哪个命令调用的函数指向sub_45EF40,哪个命令就是

6s对应的sub_45B4B7,双击跳转到sub_460410

再跳转到 sub_45978E();

再跳转到sub_45FE10

再跳转到sub_4586E0、sub_458555

sub_4586E0双击跳转到sub_45EF40

跳转到sub_45EF40,到达加密文件函数,命令就是6s

9.(多选题)根据魏文茵的计算机分析,恶意程序加密哪些后缀文件(★★★☆☆)

A.docx

B.xlsx

C.pdf

D.doc

ABCD

strings窗口搜索xlsx

双击跳转,指向的函数是sub_45EF40

在function窗口中搜索这个函数,之后F5

代码

10.根据魏文茵的计算机分析,编写该程序电脑的用户名是(答案:12345)(★★★★★)

22383

11.嫌疑人魏文茵计算机中“工资表.xlsx”中,发放工资总金额为:(答案格式:12345))(★★★★★)

44300

暗网取证

分析:计算机取证第19题

1.臧觅风电脑使用暗网浏览器版本是?(答案格式:10.0.0)(★☆☆☆☆)

12.0.4

根据快捷方式打开暗网浏览器

2.臧觅风电脑使用的暗网浏览器历史记录中最多浏览内容是?(答案格式:制作)(★★☆☆☆)

比特币市场

浏览器历史,直接用火眼-添加物理磁盘,分析TC挂载上的盘得了

3.臧觅风电脑使用的暗网网浏览器书签“社工库”添加的时间是?(答案格式:2000-01-01 01:00:09)(★★★★☆)

2022-05-27 21:49:33

4.臧觅风电脑使用的暗网浏览器第一次使用时间是?(答案格式:2000-01-01 01:00:09)(★★★☆☆)

2023-04-12 10:19:06

5.臧觅风电脑使用的暗网浏览器扩展应用中“ftp.js”文件的md5值是?(答案格式:字母小写)(★★★★★)

ea86403d1de3089b3d32fe5706d552f6

插件安装在"G:\Tor Browser\Tor Browser\Browser\TorBrowser\Data\Browser\profile.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi"

直接解压xpi,在"G:\Tor Browser\Tor Browser\Browser\TorBrowser\Data\Browser\profile.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}\content\ftp.js"

物联取证

1.请给出该软路由管理的IP地址?(答案格式:192.168.1.1)(★☆☆☆☆)

192.168.8.20

仿真

2.请给出该软路由管理员的密码?(答案格式:admin123!@#)(★★★☆☆)

P@ssw0rd

计算机取证16题P@ssw0rd

【笔记】openwrt - 分析web首页(/cgi-bin/luci)访问流程:nginx、uWSGI、lua_openwrt nginx_骆言的博客-CSDN博客

改了一下本地网络,使其在同一网段内

访问192.168.8.20/cgi-bin/luci,后面加上openwrt的web首页

用户名是root,密码是P@ssw0rd,成功登录

3.请给出阿里云WebDAV的token?(答案格式:bac123sasdew3212…)(★★☆☆☆)

afc455bdc29a45b18f3bae5048971e76

4.请给出该软路由所用机场订阅的token?(答案格式:bac123sasdew3212…)(★★☆☆☆)

502f6affe3c7deb071d65fb43effc06d

ShadowSocksR Plus+

5.请给出该软路由数据卷的UUID?(答案格式:8adn28hd-00c0c0c0…)(★★☆☆☆)

9a89a5ec-dae6-488a-84bf-80a67388ff37

或者使用blkid命令查看分区idOpenWrt软路由空间扩容_openwrt 扩容_ls0111的博客-CSDN博客

6.请给出该软路由的共享路径?(答案格式:/home/data)(★★☆☆☆)

/mnt/data

SMB(Server Messages Block)协议:实现局域网内文件或打印机等资源共享服务的协议。Samba服务程序是一款基于SMB协议并由服务端和客户端组成的开源文件共享软件,实现了Linux与Windows系统间的文件共享。

查看samba配置文件

服务-网络共享也能看到

服务器取证

分析

打开文件管理器,没启动,启动一下

默认的用户名和密码是admin、admin,进去了

在上题的共享文件路径/mnt/data中找到了IM文件夹

打开是虚拟机文件,全部下载下来

用盘古石仿真一下

进去了,但是缺失很多东西

直接启动vmx文件,发现密码,这玩意是个vc加密的vmx,找密码

在Windows Server 2019-000003.vmdk最近访问的项目中发现txt痕迹,发现密码123w.pgscup.com

输入123w.pgscup.com、P@ssw0rd,进去了,数据没丢

1.请给出IM服务器的当前Build版本?(答案格式:11111)(★☆☆☆☆)

17763

systeminfo

2.请给出IM聊天服务的启动密码?(答案格式:3w.Baidu.com)(★★★★★)

123w.pgscup.com

见分析

3.请给出该聊天服务器所用的PHP版本?(答案格式:7.2.5)(★★★★☆)

7.4.32

4.请给出该服务器所用的数据库类型及版本?(答案格式:mysql 5.7.1)(★★★★★)

mysql 10.4.12

直接搜mysql.exe

5.请给出该服务器MySQL数据库root账号的密码?(答案格式:3w.baidu.com)(★★★★★)

www.upsoft01.com

桌面上有个IM管理台,是个网站

不知道用户名和密码

打开所在文件夹

拖出来直接搜config.php,快多了

6.请给该IM服务器内当前企业所使用的数据库?(答案格式:admin_admin)(★★★★☆)

antdbms_usdtreclub

先启动一下mysql

输入上题得到的用户名密码进入mysql,有两个数据库

先看上题指向的数据库名antdbms,输入用户名root和密码www.upsoft01.com,进入查找网站的用户名和密码,密码解不出来,改密码,看密码长度是32位小写

123md5(32位小写)加密是202cb962ac59075b964b07152d234b70

update sys_admin set USER_PWD="202cb962ac59075b964b07152d234b70" where USERR_ID=1;

admin,123登进去了

找到企业所使用的数据库antdbms_usdtreclub

7.请给出该组织“usdtreclub”内共有多少个部门(不含分区)?(答案格式:1)(★★★☆☆)

5

potato的数据库里面

登录上网站后台后能直接看

8.客户端消息传输采用哪种加密形式?(答案格式:A)(★★☆☆☆)

A.AES128

B.AES256

C.DES

D.Base64

B

唯一的一个企业,点击控制台

要登录,用户名有了现在要找密码

在网站架构中找密码,找到了md5值,解不开c37bd328f1e928eb4c74703d444895bf,付费记录,只能修改密码了

想用navicat连接mysql,虚拟机改为nat,防火墙改掉,双向都能ping通了

连接企业用的数据库antdbms_usdtreclub,用navicat连接死活连不上,网探还得是你啊(记得开启虚拟机的远程连接功能,在系统属性里面)

老样子,改成123,md5是202cb962ac59075b964b07152d234b70

进去了,顺便把其他管理员的密码也改了,都改成123,不同权限的管理员能看到的内容应该不一样

客户端,消息传输,AES256

9.以下那个不是此系统提供的应用?(答案格式:A)(★★☆☆☆)

A.云盘

B.审批

C.会议

D.考勤

D

后台也能看出来

10.请给出“ 2023-04-11 21:48:14”登录成功此系统的用户设备MAC地址?(答案格式:08-AA-33-DF-1A)(★★★☆☆)

80-B6-55-EF-90-8E

登录超级管理员,查找登录日志

11.请给出用户“卢正文”的手机号码?(答案格式:13888888888)(★★★★☆)

13580912153

集群服务器取证

分析

三个镜像一个一个仿真

server01:192.168.91.171

server02:192.168.91.172

server03:192.168.91.173

三个的关系是一个master,两个node

火眼跑一下发现还有一个网卡是ens34,192.168.8.171,进去./etc/sysconfig/network-scripts查看,每一个虚拟机都是两张网卡,ens33和ens34

192.168.91.171和192.168.8.171,同一网段内,更改ifcfg-ens33、ifcfg-ens34网卡的网关为192.168.0.1,子网掩码为16,更改虚拟网络编辑器

添加第二张网卡

ip a查看发现新添加的网卡为ens36

更改ens34网卡名称为ens36,最终效果是

三个虚拟机均这样更改,更改后,三台虚拟机和主机均能相互ping通

使用xshell连接三台虚拟机,server01的ssh端口号是2282,server02和server03的还是22,仿真时直接把密码清除了,使用passwd命令再加个密码就行

查看历史命令发现还需挂载一下,通过nfs将master的www挂载到本地www,两个node都需要

192.168.8.171现在是192.168.128.0

mount通过NFS挂载_mount nfs_田小呱的博客-CSDN博客

kubectl get nodes -o wide查看节点信息

kubectl get pods --all-namespaces查看所有名称空间的pods

1.请给出集群master节点的内核版本?(答案格式:2.6.0-104.e11.x86_64)(★☆☆☆☆)

3.10.0-957.el7.x86_64

2.请给出该集群的pod网络?(答案格式:192.168.0.0/24)(★★★★☆)

10.244.0.0/16

kubectl get configmap kubeadm-config -n kube-system -o yaml

查看当前k8s集群中 pod 和 service 网段信息

3.请给出该集群所用的网络插件?(答案格式:abcd)(★★☆☆☆)

calico

网络插件有

k8s入坑之路(9)k8s网络插件详解 - 大辉哥 - 博客园 (cnblogs.com)

kubectl get pod --all-namespaces查看所有名称空间的pods

4.默认ns除外,本集群共有多少个ns?(答案格式:1)(★★★☆☆)

8

kubectl get namespaces查看所有namespace

5.请给出该集群的集群IP?(答案格式:192.168.0.0)(★★☆☆☆)

192.168.91.171

kubectl cluster-info 查看集群信息

6.请给出该ns为“licai”svc为“php-svc”的访问类型?(答案格式:Abc)(★★☆☆☆)

NodePort

kubectl get services --all-namespaces查看所有服务

7.请给出ns为“shuadan”下的的PHP版本?(答案格式:1.1)(★★★★★)

7.2

查看所有命名空间中的pods:kubectl get pods -A

查看shuadan下的pod:kubectl get pods --namespace=shuadan

kubectl describe pod php-deploy-7d9648677d-dbm66 --namespace=shuadan

输出指定资源的详细信息

过滤php更快,kubectl describe pod php-deploy-7d9648677d-dbm66 --namespace=shuadan | grep php

8.请给出本机集群所使用的私有仓库地址?(答案格式:192.168.0.0)(★★★★☆)

192.168.8.12

Kubernetes 集群所使用的私有仓库地址通常存储在集群中的 Secret 中,可以通过以下步骤查看:

在终端中登录到 Kubernetes 集群的控制节点。

运行以下命令查看已经存在的 Secret:

kubectl get secrets

找到名为 imagepullsecret(或其他自定义名称)的 Secret,运行以下命令查看其详细信息:

kubectl describe secret imagepullsecret

在输出结果中,找到 dockerconfigjson 字段,其中包含了私有仓库的地址、用户名和密码等信息。可以将其解码后查看:

kubectl get secret imagepullsecret -o jsonpath="{.data.\.dockerconfigjson}" | base64 --decode

若在 Windows 系统上执行以上命令,可以使用 PowerShell 代替 base64 命令:

kubectl get secret imagepullsecret -o jsonpath="{.data.\.dockerconfigjson}" | %{[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($_))}

解码后的输出结果为一个 JSON 字符串,其中包含了所使用的私有仓库地址。

9.接上题,请给出登录该私有仓库所用的token?(答案格式:bae213ionada21…)(★★★★★)

dXNlcjozVy5wZ3NjdXAuY29t

见上题,解密是user:3W.pgscup.com

10.请给出“licaisite”持久化存储的大小?(答案格式:10G)(★★☆☆☆)

6G

licaisite-pvc查看持久化存储

11.接上题,请给出对应的存储持久化声明名称?(答案格式:abc-abc)(★★★☆☆)

licaisite-pvc

kubectl describe pv licaisite查看持久化存储详细信息

12.请给出集群内部署网站所使用数据库的IP地址和端口号?(答案格式:192.168.0.0:8080)(★★★☆☆)

61.150.31.142:3306

数据库在./www下面

直接通过xshell连接xftp

直接把www文件夹拖出来,查看数据库配置文件

kefu是61.150.31.142:3306

licai也是61.150.31.142:3306

刷单也是61.150.31.142:3306,具体解密过程见14题

13.请给出网站“vip.kefu.com”所使用的端口号?(答案格式:8080)(★★☆☆☆)

8083

14.请给出网站“vip.shuadan.com”连接数据库所使用的账号和密码?(答案格式root/password)(★★★★★)

vip.shuadan.com/nFRrSNh6Msnbtpay

打开其database.php配置文件,发现不对劲,应该是加密了的

eval改为echo,打印前面的部分,发现后面的部分是base64加密了的

解密后再次eval改为echo打印

解密成功

​?><?php

// +----------------------------------------------------------------------

// | ThinkAdmin

// +----------------------------------------------------------------------

// | 版权所有 2014~2019 广州楚才信息科技有限公司 [ http://www.cuci.cc ]

// +----------------------------------------------------------------------

// | 官方网站: http://demo.thinkadmin.top

// +----------------------------------------------------------------------

// | 开源协议 ( https://mit-license.org )

// +----------------------------------------------------------------------

// | gitee 开源项目:ThinkAdmin: 基于 ThinkPHP6 的极简后台管理系统,内置注解权限、异步多任务、应用插件生态等,支持类 PaaS 更新公共模块和应用插件,插件可本地化定制开发。

// | github开源项目:GitHub - zoujingli/ThinkAdmin: 基于 ThinkPHP6 的极简后台管理系统,内置注解权限、异步多任务、应用插件生态等,支持类 PaaS 更新公共模块和应用插件,插件可本地化定制开发。

// +----------------------------------------------------------------------

return [

// 数据库调试模式

'debug' => true,

// 数据库类型

'type' => 'mysql',

// 服务器地址

'hostname' => '61.150.31.142',

// 'hostname' => '127.0.0.1',

// 数据库名

'database' => 'vip.shuadan.com',

// 用户名

'username' => 'vip.shuadan.com',

// 密码

'password' => 'nFRrSNh6Msnbtpay',

// 编码

'charset' => 'utf8mb4',

// 端口

'hostport' => '3306',

// 主从

'deploy' => 0,

// 分离

'rw_separate' => false,

];

​

数据库

数据库/data.tar

15.请给出调证数据库的版本号?(答案格式5.7.1)(★★★★★)

5.6.50

16.请给出刷单网站客服域名?(答案格式:http://www.baidu.com:8080/login.html)(★★★★★)

vip.kefu.com

shuadan网站重构

数据库是data文件夹,网站源码就是www文件夹

配置数据库

启动mysql,5.7.26

把启动的mysql下的data文件夹整个替换掉

跳过密码

配置网站

新建网站vip.shuadan.com,php是5.6.9

替换源代码

网站根目录是public,图标都在public里面

伪静态配置(3条消息) 服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_Grignard_的博客-CSDN博客

apache的伪静态

<IfModule mod_rewrite.c>
Options +FollowSymlinks -Multiviews
RewriteEngine on

RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php?/$1 [QSA,PT,L]
</IfModule>

nginx的伪静态

   if (!-e $request_filename) {
rewrite ^(.*)$ /index.php?s=/$1 last;
break;
}

更改database配置文件,更改服务器地址和用户名

访问网站

vip.shuadan.com:80

kefu网站重构

配置网站

php5.6.9,端口是8083

伪静态

网站根目录是public

更改配置文件

到这步应该就访问成功了,但是我的报错啊呜呜呜,不知道哪出错了

licai网站重构

配置网站404,不知道为什么卡在这里,试了好几次,不得其解,放弃

17.请给出理财客服系统用户“admin”共有多少个会话窗口?(答案格式:123)(★★★★★)

8

18.刷单客服是嵌套在刷单源码下那个文件内,请给出该文件在网站源码内的目录和文件名?(答案格式:www.baidu.com:8080/login.html)(★★★★★)

/application/index/view/user/user.html

在刷单个人中心里,admin,123456登录用户

在线客服可以跳转到kefu网站里

根据这个网站搜索

19.请统计出刷单网站后台累计提现成功的金额?(答案格式:1000)(★☆☆☆☆)

7611

后台是/admin_2019

weiliang的密码解出来是123456

20.请给出受害人上级的电话号码?(答案格式:13888888888)(★★★☆☆)

18727164573

21.请给出刷单网站受害人加款的时间(北京时间)?(答案格式:2023-05-06 14:00:00)(★★★☆☆)

2023-04-12 14:57:32

22.该理财网站曾经被挂马,请给出上传木马者的IP?(答案格式:192.168.10.10)(★★★☆☆)

103.177.44.10

扫描整个site目录,在shuadan里面

查看log

23.接上题,请找到此木马,计算该木马的md5?(答案格式:123dadgadad332…)(★★★☆☆)

339c925222a41011ac1a7e55ec408202

24.请统计该投资理财平台累计交易额为多少亿?(答案格式:1.8)(★★☆☆☆)

1.42

25.请给出该虚拟币投资平台内用户“李国斌”的银行卡号?(答案格式:622222222222222)(★★★☆☆)

6212260808001710173

26.分析该虚拟币投资平台财务明细表,用户“13912345678”共支出多少钱(cnc), 结果保留两位小数?(答案格式:10000.00)(★★★★★)

24817.99

Logo

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐