2019长安杯电子取证比赛WP

2019长安杯WP

检材1

1.SHA-256

5EE0B3809807BF8A39453695C5835CDDFD33F65B4F5BEE8B5670625291A6BC1C

2.操作系统版本

CentOS Linux release 7.6.1810(Core)

3.内核版本

3.10.0-957.el7.x86_64

4.分区个数

5.LVM分区起始扇区

2099200

)

6.root逻辑卷文件系统

XFS

7.root逻辑卷的物理大小是多少Byte

18249416704

8.该服务器的网站访问端口

8091

9.10.本地docker镜像数、docker版本

直接用网镜看

也可以使用以下命令

docker images
docker -v

11.docker应用中总共有多少容器

上面docker概览有，10个

12.docker中运行的容器有多少

同样，docker概览的Running，有3个

13.名称为romantic_varahamihira的容器节点，它的hostname

53766d68636f

14.上题容器节点中，占用了主机的哪个端口

未占用，netstat -pantu 没有

15.容器ID为15debb1824e6的容器节点，它运行了什么服务

ssh

16.上题容器节点中，占用了主机的哪个端口

39999

17.该服务器中网站运行在docker容器中，其中web服务使用的是什么应用

由上面端口8091的可知，是nginx

18.上题所述运行web服务的容器节点，使用的镜像名称是什么

19.上题所述容器节点占用的容器端口是什么

8091 答案是80，不知道为什么

20.网站目录所在的容器内部路径为（格式：容器ID：路径）

就开了3个容器，进去看目录就行

21.网站目录所在的主机路径为下列选项中的哪个

/var/lib/docker/overlay2/cca977c8ca4a251023000285fbc8b4556636e1adc53cb012c84133a7b857abfc/diff/home/vue2-element-touzi-admin

毕竟是选择题，一个个路径带进去试就行了，而且正好是第一个选项

22.网站日志的路径在哪

进容器找一下路径就行了

path:"16fc160060c1:/etc/nginx/logs/jrweb.log"

23.案发当时，该服务器的原始IP地址是多少

日志里能够找到 192.168.184.128

24.在docker中，各容器节点和主机之间的网络连接模式是什么

网探 bridge

25.当我们想将网站重构好时，访问网站时，web应用在其中承担什么样的工作

26.从网站日志中，我们可以看到嫌疑人入侵服务器所使用的IP是

从docker中导出日志

root@16fc160060c1:/etc/nginx/logs# cat jrweb.log > /tmp/jrweb.log
[root@localhost conf.d]# docker cp 16fc160060c1:/tmp/jrweb.log /tmp/jrweb.log

发现192.168.180.133的IP在爆破密码

所以IP是192.168.180.133

27.网站目录中网站的主配置文件是哪一个

/config/index.js

28.该网站使用的是什么数据库

正常思路就是找连接数据库的文件，cat ./server/db.js:

MongoDB

29.所使用数据库的端口是多少

上面的连接已经看出来了：27017

30.数据库所在服务器IP是多少

上面的连接已经看出来了：192.168.184.129

31.数据库的用户名是什么

上面的连接已经看出来了：root

32.数据库的密码是什么

上面的连接已经看出来了：root

33.该网站所使用的数据库库名是什么

上面的连接已经看出来了：tougu

34.在案发时，黑客对该服务器某个文件/目录进行了加密，请问是哪个文件/目录

查看history

.bash_history

检材2

35.该数据库服务器使用数据库的安装路径在哪

/var/lib/mongo

36.数据库的配置文件的路径

/etc/mongod.conf

网探连接数据库，直接查看

37.数据库的日志文件路径在哪里

/var/log/mongodb/mongod.log

上题图片就有

38.该数据库的网站用户表名是什么

users

连了mongo，啥都没有，只能看日志，搜了下password，看到了对users的操作，说明这个就是用户表名

39.该数据库中网站用户表里的密码字段加密方式

网上试着解密下找到的这个密码

)本来以为是一层md5 密码forensix，但原逻辑发现并没有解密验证，MD5应该是存储时候自动加的

40.该用户表被做过什么样的修改

修改用户密码

还是刚才那条日志

网上查一下mongoDB的update操作

这行操作的意思就是查询username="admin"，然后修改密码为ee16c5d7054e010582a7a5cfe7814d4a

41.嫌疑人对该数据库的哪个库进行了风险操作

既然是风险操作，我们就搜一下这些操作。删库dropDatabase直接就搜到了

连带着42、44也出来了

tougu

42.嫌疑人对上述数据库做了什么样的风险操作

删除库

43.嫌疑人在哪个时间段内登陆数据库

18:05-18:32

last

44.嫌疑人在什么时间对数据库进行了42题所述的风险操作

18:09:37

检材3

45.该服务器所使用的VPN软件，采用了什么协议

查看history

PPTP

46.该服务器的时区为

Asia/Dhaka

47.该服务器中对VPN软件配置的option的文件位置在哪里

history里对该配置文件进行了修改

/etc/ppp/options.pptpd

48.VPN软件开启了写入客户端的连接与断开，请问写入的文件是哪个

看wtmp，有ppp123的连接记录

49.VPN软件客户端被分配的IP范围

192.168.184.12-192.168.184.18

cat /var/log/pptpd.log

50.由option文件可以知道，option文件配置了VPN软件的日志路径

/var/log/pptpd.log

51.VPN软件记录了客户端使用的名称和密码，记录的文件是

/etc/ppp/chap-secrets

52.在服务器时间2019-07-02_02:08:27登陆过VPN客户端的用户名是哪个

root

cat /var/log/pptpd.log

53.上题用户登陆时的客户IP是什么

clientIP:192.168.43.238

54.通过IP172.16.80.188登陆VPN服务器的用户名是哪个

vpn1

55.上题用户登陆VPN服务器的北京时间是

由上题可知时间，但是需要+2小时

2019-07-13_16:15:37

56.该服务器曾被进行过抓包，请问network.cap是对哪个网卡进行抓包获得的抓包文件

ens33

57.对ens37网卡进行抓包产生的抓包文件并保存下来的是哪个

net0713-1.cap

58.从保存的数据包中分析可知，出口的IP为

172.16.80.92

检材4

【注】：解压密码：172.16.80.188

59.计算“检材4.E01”文件的sha256值

1E646DEC202C96B72F13CC3CF224148FC4E19D6FAAAF76EFFFC31B1CA2CDD200

60.请分析该检材的操作系统版本

Windows 10 Education

61.找出该系统用户最后一次登陆时间

2019-07-14 10:40:02

62、找出该系统最后一次正常关机时间

2019-07-14 11:30:05

63.请计算检材桌面上文本文件的sha256值

58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5

64.该系统于2019年7月13日安装的软件为

Eraser

65.找出该嫌疑人于2019-07-13 17:52:19时，使用WinRAR工具访问了_____文件

时间轴分析

BitLocker.rar

66.系统于2019-07-13 17:53:45时运行了___程序：

Foxmail.exe

67.文件test2-master.zip是什么时间下载到本机的

2019-07-13 16:20:01

68.文件test2-master.zip是使用什么工具下载到本地的

Chrome

69.嫌疑人成功连接至192.168.184.128服务器的时间为

2019-07-13 16:21:28

密钥连接

70.嫌疑人通过远程连接到128服务器，下载了什么文件到本机

一个个搜一下

we.tar.gz

71.承接上一题，下载该文件用了多长时间

15秒

修改时间-创建时间=下载时间

72.请计算该下载文件的sha256值

既然是从128的服务器下下来的，那就从检材1中把we.tar.gz文件拖出来计算sha-256

sha-256: 077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d5

73.请分析并提取，嫌疑人所用的手机的IMEI号码

IMEI: 352021062748967

74.嫌疑人是通过何种方式联系到售卖恶意程序的卖家的

大型犯罪现场

75.嫌疑人和卖家的资金来往是通过何种方式

微信

76.嫌疑人在犯罪过程中所使用的QQ账号为

1649840939

77.卖家所使用的微信账号ID为

chao636787

78.嫌疑人下载了几个恶意程序到本机

通过聊天记录可知，一共是跟带头大哥要了2个恶意程序

一个是runit,还有一个是加密解密的软件

79.恶意程序被嫌疑人保存在什么位置

到这一步其实可以发现，这个D盘是一个虚拟磁盘由bitlocker加密的

那bitlocker怎么解密呢，前面的聊天记录有些提示

说明某个地方是有嫌疑人的备份密钥的

80.恶意程序是使用什么工具下载到本地的

Edge

81.嫌疑人是什么时间开始对受害者实施诈骗的

发短信的时间就是开始时间

19:04:44

82.请提取受害者的银行卡信息，银行卡账号为

据说在检材4备案的Ubantu里，有个db.sqlite3数据库文件，但是我连进去之后只看到两个银行卡号记录，还不知道这题怎么解。

83.请综合分析，嫌疑人第一次入侵目标服务器的行为发生在

入侵128的记录

时间轴分析

但是16:17:34选项并没有，所以选16:17:35

84.请综合分析，嫌疑人入侵服务所使用的登陆方式为

SSH密钥

上面我们在分析第69题时，就是发现这个公钥文件分析连接成功时间的

85.可知嫌疑人应对外发送过邮件，请分析并找到发出的邮件，可知邮件的发送时间为

这个题目是真的骚，我们在前面有发现，他下载过Foxmail，于是我们查看Foxmail使用痕迹，但是找不到邮件……因为他不一定用Foxmail发文件。所以我们换一个思路，在检材三中（嫌疑人使用的VPN服务器）有ens33网卡的数据包net0713.cap，既然他发邮件，那么一定走了代理，所以我们再研究研究那个检材3的那两个数据包。

SMTP过滤下