2024年盘古石杯服务器取证wp
1.分析内部IM服务器检材,在搭建的内部即时通讯平台中,客户端与服务器的通讯端口是:[答案格式:8888]
拿到一个服务器镜像个人做题习惯:看history,看端口情况,配置网络,查看进程服务情况
这个im服务器相对正常,网络配置,ssh端口都正常操作。仿真起来,就正常开始做题了。
服务器安装docker服务 查看docker容器情况就可以直接看到通讯的端口8065
https://img-blog.csdnimg.cn/direct/d1bf9f2db5ae4ad6ab1281c5c0b99367.png
这里还可以通过登录嫌疑人pc端通讯软件查看到端口情况。
2.分析内部IM服务器检材,该内部IM平台使用的数据库版本是
接上题 服务器当中只有一个docker容器
docker inspect 查看容器的配置情况
通过这里可以确定服务器用的是PostgreSQL 对应的版本号为12.18-1
https://img-blog.csdnimg.cn/direct/fe1bfdf49176403aa886db1d783bd547.png
3.分析内部IM服务器检材,该内部IM平台中数据库的名称是:
docker inspect可以看到数据库的名称为mattermost_testhttps://img-blog.csdnimg.cn/direct/919ebfb442834b5bb69a4ba90b09e58e.png
4.分析内部IM服务器检材,该内部IM平台中当前数据库一共有多少张表
这里需要留意的是PostgreSQL 没有做外部端口的映射,需要通过ssh通道来连接数据库
https://img-blog.csdnimg.cn/direct/4f0b05fb4f194e778257490e59322912.png
容器ip为172.17.0.2
https://img-blog.csdnimg.cn/direct/b3431d2998ac44a298b259c0f01832fa.png
数据库名称 用户名和暗码
ssh连接到服务器,在通过对应doker容器的ip连接到数据库当中
https://img-blog.csdnimg.cn/direct/6d309d5aa9bc4e7da0ccc0c1986ad3f2.png
https://img-blog.csdnimg.cn/direct/2313c953d7eb4f909f5ba66c0f3da1e4.png
连接进去可以看到有82张表(这里需要留意要用navicate15 12连上去看不到表)
https://img-blog.csdnimg.cn/direct/6496ee9b5f8442e8b3687fcf97c76287.png
5.分析内部IM服务器检材,员工注册的邀请链接中,邀请码是
查看user表
https://img-blog.csdnimg.cn/direct/80318c6677e84e90bf1860e1d7b6e717.png
暗码都是加密过的密文
问一下gpt用的什么加密方式
https://img-blog.csdnimg.cn/direct/76aa986264734eec9db24ead64ed4947.png
用在线工具天生一个123456的bcrypt密文
https://img-blog.csdnimg.cn/direct/06bc109a91ce42308a6758f4ee4daadf.png
把数据库里面的所有密文举行更换 登录gxyt这个管理账号在团队设置可以看到团队的邀请码
https://img-blog.csdnimg.cn/direct/b971f33a9e95491e810a414ec9cdc1b5.png
54d916mu6p858bbyz8f88rmbmc
6.分析内部IM服务器检材,用户yiyan一共给fujiya发送了几个视频文件
登录yiyan的账号 查看他和fujiya的谈天记录 可以看到yiyan发了两个视频给fujiya
https://img-blog.csdnimg.cn/direct/8231eabf04624689907f9a25488596f8.png
7.分析内部IM服务器检材,用户yiyan在团队群组中发送的视频文件的MD5值是:[答案格式:小写][★★★☆☆]
查看群组谈天记录 将视频导出计算md5值
https://img-blog.csdnimg.cn/direct/6f58470573c243d7bb53ee6562874265.png
https://img-blog.csdnimg.cn/direct/87a3a013351c49c1b6898dd2d55a4aad.png
8.分析内部IM服务器检材,一个团队中允许的最大用户数是:[答案格式:数字][★★★★☆]
登录gxyt这个账号 查看团队设置 可以看到每个团队允许50个用户
https://img-blog.csdnimg.cn/direct/eef43befe9c04f5d8a6e5064b99dd942.png
9.分析内部IM服务器检材,黑客是什么时间开始攻击
系统控制台查看服务器日志
https://img-blog.csdnimg.cn/direct/d465e9041e084efba3500a104ea8a1c2.png
点开具体的数据报可以看到 在爆破管理账号的暗码
https://img-blog.csdnimg.cn/direct/1a1e30cdf94b4a638ef770d2445c4c73.png
可以确定最早的黑客攻击的时间
2024-04-25 07:33:17.638 Z 这里的z是utc时间换算到北京时间需要+8
所以最后得到的答案是2024-04-25-15-33
10分析网站服务器检材,网站搭建使用的服务器管理软件当前版本是否支持32位系统:[答案格式:是/否][★☆☆☆☆]
对网站服务器举行仿真 可以看到使用宝塔
https://img-blog.csdnimg.cn/direct/a193d86818f544d4b3970007e411c6f7.png
登录宝塔面板可以看到使用的是
https://img-blog.csdnimg.cn/direct/e66c5579d47e4b92be7b2ff1b6452704.png
这个版本的宝塔是不支持32位系统的
11.分析网站服务器检材,数据库备份的频率是一周多少次:[答案格式:1][★★☆☆☆]
查看系统的定时任务 crontab -l
https://img-blog.csdnimg.cn/direct/c86fd83e294245f3a9f06622bc061f8b.png
可以看到 每周执行了一个 sh文件
再追踪这个sh文件
https://img-blog.csdnimg.cn/direct/29afaa3944764911b44eb07fb8205fa5.png
可以确定是在对数据库举行备份了
12.分析网站服务器检材,数据库备份天生的文件的暗码是
sh文件其时有一个很显着的暗码字段
https://img-blog.csdnimg.cn/direct/d78029742bcd4af6ad2b2d06c0bbfd6d.png
mysecretpassword
13.分析网站服务器检材,网站前台首页的网站标题是
修改本机host文件
https://img-blog.csdnimg.cn/direct/279ce968c87f4a08a35c7144ea389394.png
访问网站 标题为威尼斯
https://img-blog.csdnimg.cn/direct/62ef9b4777a34e1e847abbd0cacb2499.png
14.分析网站服务器检材,受害人第一次成功登录网站的时间是:
首先需要将数据库备份文件解密出来
sh文件当中已经把解密的命令写出来了
tar -czvf - $BACKUP_FILE_NAME | openssl des3 -salt -k $AES_PASS -out $File_Name
首先需要获取AES_PASS
echo -n "2828" | openssl enc -aes-256-cbc -a -salt -pass pass:mysecretpassword -nosalt
https://img-blog.csdnimg.cn/direct/907377d9278f42cb8f36df42ad2757b4.png
IvPGP/8vfTLtzQfJTmQhYg==
然后再对数据库文件举行解密
openssl des3 -d -salt -k IvPGP/8vfTLtzQfJTmQhYg== -in 2828.sql.gz -out 28281.sql.gz
解密之后再解压文件就得到备份的数据库文件
https://img-blog.csdnimg.cn/direct/f6e4fb4cbfdc467baaa7f3efce0ae6b0.png、
再将sql文件导入数据分析工具当中 查看userlog表 联合受害人的谈天记录可以判断受害人第一次成功登录网站的时间为
https://img-blog.csdnimg.cn/direct/e6a2432759e943ac9af888bf1c58914b.png
15分析网站服务器检材,前台页面中,港澳数字竞猜游戏中,进入贵宾厅最低点数是:[答案格式:1234]
将网站源码导出 检索港澳数字竞猜游戏 可以定位到判断点数这里的逻辑
https://img-blog.csdnimg.cn/direct/87d187d42d9642bd91f0c61aafcd822b.png
再搜索以下bj28_3_usermin_point这个变量 就可以得到最低的点数
https://img-blog.csdnimg.cn/direct/d9b13908e9584a889dcfcbe1195d47e9.png
16分析网站服务器检材,受害人在平台一共盈利了多少钱
受害人钱包当中余额 35000
https://img-blog.csdnimg.cn/direct/f03cd0e57e734732a256943cbfe94e82.png
17分析网站服务器检材,网站根目录下,哪个路径存在漏洞
在网站根目录下 有一段一句木马
https://img-blog.csdnimg.cn/direct/9a71f1762f134bf9acfb6ae19d259c17.png
https://img-blog.csdnimg.cn/direct/d717af3e0f0e4c4d9908249c54654b17.png
根据木马的修改时间查看网站的日志
查找到一句话木马上传日志
https://img-blog.csdnimg.cn/direct/91f40e434ee243b2b11a99c40a5e810b.png
继续向前回溯 之前在对tmpugklv.php 举行操作
https://img-blog.csdnimg.cn/direct/2ba092c451c644b29e773f13aaf9f04f.png
继续看tmpugklv.php 这个文件是一个上传的接口
https://img-blog.csdnimg.cn/direct/991884d5357a49678f4b04cd0e2bf6ec.png
https://img-blog.csdnimg.cn/direct/83e5a03f37e94e7ebe0a4f8ce03e35ca.png
根据修改时间判断也是后续上传上去的文件 继续向前回溯 18时51分48秒的时间通过sql注入将tmpugklv.php 写道网站当中
https://img-blog.csdnimg.cn/direct/cb62404a8cd6409abaa514696b0cc3c8.png
https://img-blog.csdnimg.cn/direct/436665e6a30643e6b43bb501d00c6c53.png
https://img-blog.csdnimg.cn/direct/2353d4c4b72b42f6973b0e99d21a3265.png
由此可以判断黑客通过/Home/User/tkpwdpost.html 存在的sql注入将上传接口tmpugklv.php写到网站的根目录下 再通过上传接口将一句话木马上传
18分析网站服务器检材,黑客通过哪个文件上传的木马文件
接上题 通过tmpugklv.php文件将一句话木马上传到网站当中
19分析网站服务器检材,网站使用的数据库前缀是
根据导出的数据库备份文件可以看出 数据库表的前缀 think_
https://img-blog.csdnimg.cn/direct/835983f08df947119ba6401f8e816fba.png
同时也可以通过查看代码 直接搜索数据库 可以找到数据库前缀对应的参数https://img-blog.csdnimg.cn/direct/ab371c18a55c488c9a6b95d687589c76.png
再继续追踪DB_PREFIX 可以得到数据库前缀
https://img-blog.csdnimg.cn/direct/107c4684fd474f96889f5d6ae8ee2b98.png
20分析网站服务器检材,木马文件的暗码是:
https://img-blog.csdnimg.cn/direct/834c2502737f4f558dc8c594dc886b46.png
一句话木马的参数即为暗码 2335
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]