Loading

20年美亚杯-Zello服务器部分WRITE UP

Zello服务器部分

以服务器作为团体赛的开头 这部分相对后面Bob的部分而言 相对简单一些 考察的是对linux系统的认识 注意 如果直接用取证大师跑镜像 会有很多数据跑不出来 建议养成一个习惯 每一个镜像都使用FTK挂载出来 在跑软件

1.Zello服务器的hash 256是什么
说实在 hash256算的也太久了 这里不跑了 注意跑的是整个服务器的哈希值 建议用取证大师里面的哈希工具跑 这边就不贴值了(有的队直接扛了两个取证塔来跑

2.卷组是何时创建的
如果没有用FTK挂载的话 这题应该是做不出的 因为第三个分区直接跑没有数据 挂载之后才能出数据 发现他是基于Linux的ubuntu系统 轻车熟路 找到卷组所在目录 注意 检材里的是0时区 我们要可以转换成+8时区

3.卷组的名称是什么
就是ubuntu-vg 前面找到的

4.物理卷的PV UUID是什么
可以通过排除法

5.物理卷的VG UUID是什么
经石师傅的提醒(while(1){print("ssfyyds")}) 发现题目选项打错了一个字 把X打成了Z

6.Zello服务器的Linux内核版本是什么
知道怎么找内核版本 但是说实在不会区分45 47和48 好在题目没有在这里为难我

7.Zello服务器的操作系统是什么
这题其实仿真了更好做 但是鉴于账号过期了 笨方法 说实在这题是复制选项搜的 等哪天有仿真了再改一下

8.Zello服务器的主机名是什么
其实这题如果早上有做过个人赛的话就会有印象 嫌疑人是用ftp传输的 如果有仔细看那个ftp的日志的话 是能找到主机名为Zello的一个服务器 但是这题也可以从检材找 也是从卷组出发 注意这个Zello服务器的主机名是最上面的那个host名 不是下面分组里的ubuntu-sever的名字 反正是整台机子的那个

9.Zello服务器的计算器ID是什么
又是经石师傅的提醒(while(1){print("ssfyyds")}) 发现又是翻译的锅 题目问的是machine-id是多少

10.Zello服务器中使用的wordpress版本是什么
这题说真的是猜测的 直接寻找wordpress文件找不到各种关于版本信息的东西 想到linux系统 毕竟是出题 肯定是要安装文件的 会不会没有删掉记录 找到了bash记录之后 发现他是直接curl了最新的wordpress文件 我直接访问这个最新文件的下载地址 发现下载下来的是5.6的 鉴于是比赛当时出的题 可能wordpress版本也不会低太多 低一个版本左右 选了5.5.1的最新的那个版本

11.与Zello服务器同步的主机名是什么
毕竟是linux 如果没有思路的话看日志或者是查看bash记录 同步的话查日志是没找到 所以看了看bash记录 发现找到了ping主机的一条记录

12.Zello服务器的时区是什么
仿真的话是可以直接找到的 比赛的时候我记得这部分是仿真做的 当然也可以直接从文件里面找 etc/timezone

13.有多少个本地用户登录到Zello
查看var/log/wtmp 虽然不能仿真 但是经石师傅的提醒(while(1){print("ssfyyds")}) 可以把这个文件拖到自己的linux里面看

14.植入网页目录的网络壳层的哈希(MD5)是什么
经石师傅的提醒(while(1){print("ssfyyds")}) 忘记把英文抄上了 是问web dictionary的web shell的哈希是啥 其实就是问那个马的哈希是多少 你就看这一大串 但是这马以我的水平还看不懂

15.\var\www\html\wordpress\net\2020\Login\index.php有什么作用
还记得个人赛的同学应该会记得 这是一个用钓鱼网站盗取个人信息进行银行卡盗刷的案子 看了看这个index页面 里面包含了用户名密码登录的这些个操作 然后我看到了这个文件夹下面的R3ZZ文件 这个文件含有被盗刷的人的个人信息 能推测出来这个网站是用来盗取别人信息的网站

16.钓鱼网站伪装成什么网站
Netfix 不用多说

17.以下哪个ip对Zello进行了暴力攻击
很明显的套路题 var/log文件夹下找日志文件 一个个筛查 而且ip是很固定的2xx开头 挺好找 找第三个access.log日志 能发现这个人在对Zello服务器进行暴力爆破

18.Zello Web服务器的URL地址是什么
搜一下ping 毕竟是Linux系统 搭建网站还是要敲一些命令行 所以可以去bash那康康

19.LVM2容器的第一个扇区是什么
和20题都不会做 新版的取证大师有个磁盘助手的小程序不见了 哪天用xways跑一下

21.在Alice和Zello的服务器里能找到什么相同的文件
如果有做早上的个人赛应该对R3ZZ.txt文件印象很深 另一个文件注意是log1n 不是login

至此 Zello服务器部分到此结束

总结

这部分的难度并不是很大 但是还是有挺大一部分的题目不能直接通过取证大师来获取 需要对服务器日志 linux内核版本 还有一些七七八八的知识点的掌握 总体来说还是有一定难度的 20年的团体赛真的出的很棒 不是让三个人打个人赛的 并且和早上的个人赛也有千丝万缕的联系 值得好好总结归纳

posted @ 2021-01-09 22:11  养一只猫  阅读(248)  评论(0编辑  收藏  举报