记第一次服务器取证复现
题目为240123春苗集训营进阶班考核的检材,第一次学习服务器取证,跟着大佬的wp复现的
1、对检材1分析,服务器SSH登录端口是多少?【答案格式:123456】
1 | 62222 |
在/etc/ssh/sshd_config文件中的Port一行中查看
2、对检材1分析,面板绑定宝塔账号是什么?【答案格式:13736678787】
1 | 19524203268 |
但在网页的宝塔面板中账号中间有几位数被打了*看不见
3、对检材1分析,系统用户chk02最后一次登录时间是什么?【答案格式:2020-01-01 12:33:33】
1 | 2022-06-06 14:12:22 |
使用命令lastlog -u chk02查看
4、对检材1分析,宝塔面板删除网站文件夹原路径在哪里?【答案格式:/www/abc/def.ghi】
1 | /www/wwwroot/www.chkinvest.hk |
5、对检材1分析,Mysql数据库所属容器id是什么?(取id前12位)【答案格式:abc123456】
1 | 5fa850f3e28a |
6、对检材1分析,数据库容器Mysql的版本是多少?【答案格式:1.1.1】
1 | 5.7.36 |
连上finashell后查看,出现连不上的情况可以参考后两两条参考资料
7、对检材1分析,数据库容器映射到外部使用的端口是什么?【答案格式:123456】
1 | 13336 |
proxy应该是使用了代理,所以是映射到外部使用
8、对检材1分析,数据库容器登录密码是什么?【答案格式:abc@#123456】
1 | yunhui.#123qwe |
在/www/wwwroot/www.chkinvest.hk/application/database.php
9、对检材1分析,涉案网站绑定的监听端口是什么?【答案格式:123456】
1 | 9014 |
直接登录宝塔会显示没有授权,执行bt 12 & bt 13命令后可以访问
10、对检材1分析,涉案网站站点数据库连接配置文件名是什么?【答案格式:abc.php】
1 | database.php |
就是第八题的文件
11、对检材1分析,客服账号kf01的邮箱地址是多少?【答案格式:abc@126.com 】
1 | 305678@qq.com |
在宝塔中找到数据库密码,用Navicat连接
报错显示不允许连接,在宝塔中更改权限后连接
在mirrormx_customer_chat_user表中
12、对检材1分析,系统中设置了风控管理,当前指定亏损用户有几个?【答案格式:123456】
1 | 2 |
修改C:\Windows\System32\drivers\etc\hosts文件将IP绑定域名
访问域名/admin进入管理员登录界面
Navicat连接docker中的mysql数据库,在wp_userinfo表找到admin用户的密码哈希值,这里有点不太懂jy和jychat两个数据库之间关系
登录后在风险管理中找到指定的亏损用户
13、对检材1分析,报案人黄娇娇总共盈利赚取多少钱?【答案格式:123456】
1 | 1100 |
在客户列表中黄娇娇的资金报表中查看
14、对检材1分析,交易笔数最多的用户信息是哪个?【答案格式:abc】
1 | xielili |
select uid,count(*)from wp_order group by uid;
15、接上题,该用户亏损多少笔?【答案格式:123456】
1 | 11 |
在普通用户界面登录
查看得知有11笔亏损记录
总结:
大佬的wp前五道是用火眼做的,没有火眼只复现了两个,感觉理论上都能复现,但没找到方法,后面两个数据库的关系也搞不懂,但第一次做服务器取证复现完还是收获蛮多的,以前finashell基本没用过,一开始怎么都连不上,查了好些资料才解决,希望下次能多干几道题。
参考资料:
20240201美亚春苗集训营进阶班考核取证部分参考wp (qq.com)
虚拟机linux系统centos7远程连接(开启SSH)_虚拟机上centos7开启ssh允许远程登录-CSDN博客
解决虚拟机报From 192.168.200.128 icmp_seq=1 Destination Host Unreachable-CSDN博客
- 标题: 记第一次服务器取证复现
- 作者: L...
- 创建于 : 2024-03-08 16:32:09
- 更新于 : 2024-08-19 12:22:23
- 链接: https://we1kin.github.io/2024/03/08/blog1/
- 版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。