论坛 › linux › 2024数证杯电子数据取证分析大赛 服务器部分 Writeup

农民 发表于 2024-12-8 21:39:52

2024数证杯电子数据取证分析大赛 服务器部分 Writeup

数证杯服务器部分


[*][填空题] 对服务器检材举行分析，站点服务器大概是从哪个云服务平台上调证过来的？（填写汉字，答案格式：亿速云） (2分)
   阿里云
有阿里云相关进程
https://img-blog.csdnimg.cn/img_convert/19424c036da2654386f23abe292b0771.png

[*][填空题] 对服务器检材举行分析，站点服务器中数据库的密码是？（按现实值填写） (2分)
   Sxy000**
查察/data/cal-0.0.1-SNAPSHOT.jar配置文件application.yaml
https://img-blog.csdnimg.cn/img_convert/2ed31122c57f6636c1c09d3cb7c052b4.png
发现激活配置文件是sxj，因此查察application-sxj.yaml得到数据库密码
https://img-blog.csdnimg.cn/img_convert/2f9a62cb5cece43b08cbbdd539795e2d.png

[*][填空题] 对服务器检材举行分析，站点服务器用于提供服务发现的工具名是？（答案格式：zookeeper） (4分)
   consul
主流的服务发现注册工具包罗Consul、Zookeeper、Eureka、Etcd等，查察历史命令，在其中找到了Consul
https://img-blog.csdnimg.cn/img_convert/e93d2a44e082391886fca03904eeda0b.png

[*][填空题] 对服务器检材举行分析，站点服务器数据库配置文件名是？（答案格式：database.php） (2分)
   application-sxj.yaml
同第二题

[*][填空题] 对服务器检材举行分析，该网站涉及的APP名称是？（答案格式：微信） (2分)
   顺心借
还是看配置文件
https://img-blog.csdnimg.cn/img_convert/e1d7e4aec2a75ed2c68e73e11a8481da.png

[*][填空题] 对服务器检材举行分析，该网站用于存储大量身份证照的OSS中的AccessKeyID后八位是？（答案格式：按现实值填写） (2分)
   EuZJybzD
还是看配置文件
https://img-blog.csdnimg.cn/img_convert/9f299df892d2c15d0510634773039fc2.png

[*][填空题] 对服务器检材举行分析，站点服务器用于消息转发代理工具所使用的端口号是？（填写数字，答案格式：3306） (2分)
   5672
RabbitMQ是实现了高级消息队列协议的开源消息代理软件
https://img-blog.csdnimg.cn/img_convert/be273e2ca19eefa3df1c9d5fee97a6c0.png

[*] [填空题] 对服务器检材举行分析，站点服务器用于启动定时任务的代码片段存在于？（答案格式：LoginIndex.class） (4分)
       MobileStatusTask.class
    找cron
[*] [填空题] 对服务器检材举行分析，站点服务器用于验证用户输入的验证码是否匹配的代码片段存在于？（答案格式：LoginIndex.class） (4分)
       AdminIndexConller.class
    使用AssertUtil.isTrue方法判断是否相等
String redisCode = (String)this.stringRedisTemplate.opsForValue().get(RedisConstant.ADMIN_PHONE_CODE + dto.getMobile());
    AssertUtil.isTrue(dto.getCode().equals(redisCode), ");

[*] [填空题] 对服务器检材举行分析，数据库服务器中Docker容器镜像中mysql的镜像ID号前6位是？（答案格式：123asd） (2分)
       23b013
    起首仿真 data.E01，进去后记得修改ens33 ip /etc/sysconfig/network-scripts/ifcfg-ens33。
然后启动docker查察就行
# service docker start
Redirecting to /bin/systemctl start docker.service
# docker images
REPOSITORY   TAG       IMAGE ID       CREATED      SIZE
mysql      8.0.39    23b013c7c67d   3 months ago   572MB

[*] [填空题] 对服务器检材举行分析，数据库服务器中DockerCompose的版本号是？（答案格式：1.1.1） (2分)
       2.27.1
    # find / -name 'docker-compose'
/usr/libexec/docker/cli-plugins/docker-compose
# cd /usr/libexec/docker/cli-plugins
# chmod +x docker-compose
# ./docker-compose -v
Docker Compose version v2.27.1

[*] [填空题] 对服务器检材举行分析，数据库服务器中用于存储背景登录账号的数据表名是？（答案格式：login） (2分)
       sys_user
    将下列内容写进mysql容器的/etc/my.cnf中

skip-grant-tables
然后重启容器
docker restart f29ed5271c46
登录mysql
docker exec -it f29ed5271c46 mysql -uroot
修改localhost和所有主机的root用户的密码，并革新MySQL的权限
FLUSH PRIVILEGES;
ALTER USER 'root'@'localhost' IDENTIFIED BY '123456';
ALTER USER 'root'@'%' IDENTIFIED BY '123456';
FLUSH PRIVILEGES;
由于在上面jar包中配置文件的用户是sxy，为了能让网站连接上数据库，所以创建一个sxy用户，并允许所有主机登录，其次授予sxj_prod的权限
CREATE USER 'sxy'@'%' IDENTIFIED BY 'Sxy000**';
GRANT ALL PRIVILEGES ON sxj_prod.* TO 'sxy'@'%';
FLUSH PRIVILEGES;
然后把咱们上面的skip-grant-tables去掉，并重启容器
docker exec -it f29ed5271c46 sed -i "s/skip-grant-tables/ /" /etc/my.cnf
docker restart f29ed5271c46

下一步连接上数据库，就得到了我们的答案
https://img-blog.csdnimg.cn/img_convert/bf43e483f0769675bdfb0a938da66131.png
    其次我们发现配置文件中的数据库所在是阿里云的，所以我们可以写一个hosts将阿里云的所在指向我们的data.E01机子的ip
data.E01的ip rm-bp18td28bsh13f5jy.mysql.rds.aliyuncs.com
具体方法是将上面的内容加进system.E01的/etc/hosts，加完之后我们可以ping一下看合适没
# ping rm-bp18td28bsh13f5jy.mysql.rds.aliyuncs.com
PING rm-bp18td28bsh13f5jy.mysql.rds.aliyuncs.com (192.168.71.150) 56(84) bytes of data.
64 bytes from rm-bp18td28bsh13f5jy.mysql.rds.aliyuncs.com (192.168.71.150): icmp_seq=1 ttl=64 time=0.267 ms
64 bytes from rm-bp18td28bsh13f5jy.mysql.rds.aliyuncs.com (192.168.71.150): icmp_seq=2 ttl=64 time=0.148 ms
64 bytes from rm-bp18td28bsh13f5jy.mysql.rds.aliyuncs.com (192.168.71.150): icmp_seq=3 ttl=64 time=0.219 ms
64 bytes from rm-bp18td28bsh13f5jy.mysql.rds.aliyuncs.com (192.168.71.150): icmp_seq=4 ttl=64 time=0.171 ms
查察数据库管理员表，我们可以看到很多state=1说明没有启用，因此我们随机选一个启用
https://img-blog.csdnimg.cn/img_convert/0b467a58ec2686377e501c6f44b76e5d.png
https://img-blog.csdnimg.cn/img_convert/83cb1ba82a96b6b933bb0f37a5c1c7a3.png
[*] [填空题] 对服务器检材举行分析，背景管理员“xpt-0”所绑定的手机号码是？（答案格式：13001880188） (2分)
       19521510863
    数据库就可以看到
[*] [填空题] 对服务器检材举行分析，用户首次借款初始额度是？（填写数字，答案格式：1） (2分)
       4000
    启动服务器之后，可以扫一下端口，看都有哪些服务
https://img-blog.csdnimg.cn/img_convert/43bb6b8e1e541bd957f8834212ff3188.png
排查到82可以看到我们的目标顺心借
https://img-blog.csdnimg.cn/img_convert/ee60c33493884038c936cfcb012e0959.png
我们在前台发送验证码，发现使用的ip是47.96.140.186，因此需要更换/www/admin中所有的47.96.140.186变成我们system.E01的ip
find /www/admin -type f -name "*.js" -exec sed -i 's/47.96.140.186/system.E01的ip/g' {} +
其次在启动rabbitmq的时候发现启动失败，分析/var/lib/rabbitmq/erl_crash.dump
崩溃时间：Wed Nov 20 00:13:09 2024

崩溃原因：

Slogan: Kernel pid terminated (application_controller) ({application_start_failure,rabbitmq_prelaunch,{{shutdown,{failed_to_start_child,prelaunch,{epmd_error,"iZbp1gma2uf9hvsnbu9mdkZ",timeout}}},{rabbit_prelaunch_app,start,]}}表明Erlang节点由于rabbitmq_prelaunch应用程序启动失败而终止。具体错误是epmd（Erlang分布式编程的端口映射守护进程）启动超时。
可以看到解析iZbp1gma2uf9hvsnbu9mdkZ超时，查察hosts文件，发现没有解析到127.0.0.1 进而修改
127.0.0.1         iZbp1gma2uf9hvsnbu9mdkZiZbp1gma2uf9hvsnbu9mdkZ
修改后直接启动乐成然后启动/root/consul.sh和/data/jar.sh，进入网页发送验证码给咱们启用的用户13238424249
在redis中写入这个用户的验证码
SET ADMIN-PHONE13238424249 1234
EXPIRE ADMIN-PHONE13238424249 600
验证码使用1234，乐成登录
https://img-blog.csdnimg.cn/img_convert/ef1b2fe53630b891aea1717e8c989646.png
https://img-blog.csdnimg.cn/img_convert/c5d2a23e28128046202d00c643ed5d6c.png
[*] [填空题] 对服务器检材举行分析，受害者在平台中一共结款了几次？（填写数字，答案格式：1） (2分)
       1857
    https://img-blog.csdnimg.cn/img_convert/bd47233ac601dec61e521db9cf998714.png
[*] [填空题] 对服务器检材举行分析，该平台中所有下单用户乐成完成订单总金额是？（填写数字，答案格式：1） (2分)
       11066700
    https://img-blog.csdnimg.cn/img_convert/72a70561ffe465986b62698b39e678bc.png
[*] [填空题] 对服务器检材举行分析，该平台中逾期费率是？（答案格式：1.1） (2分)
       0.1
    https://img-blog.csdnimg.cn/img_convert/e514b9fbf3fdf1ff31100369510305d4.png
[*] [填空题] 对服务器检材举行分析，该平台中累计还款总金额是？（填写数字，答案格式：1） (2分)
       10194700
    https://img-blog.csdnimg.cn/img_convert/2d9571b395843790ffd0c35eafdf6f0e.png
[*] [填空题] 对服务器检材举行分析，该平台总共设置了多少种借款额度？（填写数字，答案格式：1） (2分)
       18
    https://img-blog.csdnimg.cn/img_convert/68dc693d3f8d48652d69d1563388cae1.png
19种有一个禁用了所以-1
[*] [填空题] 对服务器检材举行分析，该平台一共有多少个借款渠道？（填写数字，答案格式：1） (2分)
       131
    要选择激活的
https://img-blog.csdnimg.cn/img_convert/279bd5dedbacd8d856b10683fd007b85.png
[*] [填空题] 对服务器检材举行分析，该平台对已完成用户收取了总计多少元服务费，效果精确到整数？（填写数字，答案格式：123） (2分)
       4051915
g-ghMQYlOO-1732275761628)]
19种有一个禁用了所以-1

[*] [填空题] 对服务器检材举行分析，该平台一共有多少个借款渠道？（填写数字，答案格式：1） (2分)
       131
    要选择激活的
https://img-blog.csdnimg.cn/img_convert/53dd64bffd9cbfca0eec9c5d3812e8e6.png
[*] [填空题] 对服务器检材举行分析，该平台对已完成用户收取了总计多少元服务费，效果精确到整数？（填写数字，答案格式：123） (2分)
       4051915
    https://img-blog.csdnimg.cn/img_convert/e4b094fbe5711373643dbbc2dcb84a15.png

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

查看完整版本: 2024数证杯电子数据取证分析大赛 服务器部分 Writeup