2024“龙信杯“电子数据取证竞赛-服务器取证题目Writeup

服务器检材-分析

前置

提示：该服务器做了登录密码校验配置，如果没有拿到服务器的密码而直接仿真服务器，输入密码进入系统后，服务器会将部分数据给自动删除

前提：无

因为我们仿真进入服务器会自动删除文件，所以我们需要先静态分析检材，查找删除脚本

在登录执行文件夹中可以找到 check-system.sh 脚本

查看脚本内的内容，发现里面会通过Linux系统的密码文件(/etc/shadow)，与 /etc/.cadpc 文件内容进行比对，如果密码不一致，将会删除文件，清除history等操作

根据上面的脚本查找存放密码的文件路径

找到密码修改脚本

这时仿真服务器时选择保持原有密码

进入系统后按e进入内核编辑界面，编辑图中的字段

按ctrl+x进入救援模式，输入chroot /sysroot/ 进入root用户

执行查找到的passwd.sh脚本，修改密码

然后使用修改后的密码进入系统

1.分析服务器检材，服务器会做登录密码验证，该登录验证文件位置在？[标准格式：/xxx/xxx/xxx.xxx]

参考答案：/etc/profile.d/check-system.sh

解题思路：在登录执行文件夹中可以找到start-check.sh 脚本

2.分析服务器检材，服务器ssh端口是多少？[标准格式：1234]

参考答案：12320

解题思路：netstat -nltp

3.分析服务器检材，服务器docker内有多少个镜像。[标准格式：100]

参考答案：7

解题思路：docker images

4.分析服务器检材，服务器内sqlserver默认账号的密码是？[标准格式：xxx]

参考答案：<i7uFtnkTv8>

解题思路：docker inspect sqlserver2019

5.分析服务器检材，服务器内sqlserver存放了阿里云存储下载地址，该下载地址是？[标准格式：https://xxx]

参考答案：https://xinfenfa.oss-accelerate.aliyuncs.com

解题思路：先启动sqlserver容器，然后连接sqlserver

然后使用全局搜索https关键字

6.分析服务器检材，服务器内sqlserver内“cmf_user_action_log”表，表内存在的用户操作日志，一共操作次数是多少？[标准格式：100]

参考答案：99207

解题思路：先分析表结构，判断日志表user_id对应用户表的id，然后再筛选user_id存在cmf_user表内的数据并计算总的counts操作次数

SELECT sum(cmf_user_action_log.[counts]) FROM cmf_user_action_log WHERE user_id IN ( SELECT id FROM cmf_user )

执行SQL脚本

7.分析服务器检材，该服务器正在使用的数据库的持久化目录是什么？[标准格式：/xxx/xxx]

参考答案：/data/mongo

解题思路：查找php文件，定位网站目录

找该网站的数据库配置文件

发现该网站正在使用的是mongodb，使用docker inspect mongo查看容器内部细节

8.分析服务器检材，该网站后台正在使用的数据库有多少个集合？[标准格式：100]

参考答案：13

解题思路：启动 mongo，使用上题数据库配置文件内的密码连接mongodb

9.分析服务器检材，该网站的后台登录地址是？[标准格式：/xxx/xxx.xxx全小写，不加域名]

参考答案：/appmanager/common/login.shtml

解题思路：数据迁移提示

启动 MySQL

连接MySQL

通过 mongodb导出 csv文件，然后导入MySQL中

修改数据库配置文件，让其连接MySQL

访问其前端

查看 nginx配置文件，源码使用thinkphp框架搭建，使用域名+ 文件目录来访问后台

10.分析服务器检材，该网站后台使用的管理员加密算法是？[标准格式：全大写]

参考答案：BCRYPT

解题思路：根据错误提示搜索登录验证逻辑段

搜索password

11.分析服务器检材，该网站最早使用超级管理员进行删除管理员操作的IP地址是？[标准格式：x.x.x.x]

参考答案：117.132.191.203

解题思路：根据上题可知密码加密算法，替换已知明文加密后的密文

进入后台

12.分析服务器检材，该网站后台上传过sha256值为“b204ad1f475c7716daab9afb5f8d61815c508f2a2b1539bc1f42fe2f212b30d1”的压缩包文件，该文件内的账单交易订单号是多少？[标准格式：123456]

参考答案：20240321000000005443369778283185

解题思路：通过题目可知，在后台目录上传了压缩包，所以在上传目录下搜索压缩包文件

通过压缩包内的注释提示，使用5位密码进行暴力破解

解压后发现是一串base64

转换后发现是一个账单图片

13.分析服务器检材，该网站存在网站数据库备份功能，该功能的接口地址是？[标准格式：/xxx/xxx全小写，不加域名]

参考答案：/appmanager/databackup

解题思路：通过代码可以判断该网站存在数据库备份功能

和后台地址一样，输入目录路径

14.分析服务器检材，该网站存放银行卡信息数据表中，其中信息数量前十的公司对应旗下visa银行卡一共有多少金额？[标准格式：100.00]

参考答案：21701599.63

解题思路：先定位存放银行卡信息，通过银行卡号可以判断4开头的是visa银行卡

编写SQL并执行

SELECT SUM(CAST(money AS DECIMAL(10,2))) FROM `app_card` WHERE company IN (

SELECT company FROM (

SELECT company,COUNT(company) AS ct FROM `app_card` GROUP BY company ORDER BY ct DESC LIMIT 10 ) AS comp

) AND card_no LIKE '4%'

15.分析服务器检材，该网站在2023年二月一共获取了多少条通信记录？[标准标准格式：100]

参考答案：2879

解题思路：通过执行SQL搜索

**SELECT count(*) FROM `app_mobile` WHERE addtime > 1675180800 AND addtime < 1677600000

16.分析服务器检材，该网站的一条管理员信息存在数据篡改，请分析是哪个管理员信息遭到篡改，该管理员用户名是？[标准格式：ABCDE]

参考答案：xYpMLuROhNl

解题思路：通过判断最后登录时间在创建时间前，可以判断该管理员信息存在数据篡改