22长安杯电子取证复现(检材一,二)

检材一

先用VC容器挂载,拿到完整的检材

 从检材一入手,火眼创建案件,打开检材一

1.检材1的SHA256值为

计算SHA256值,直接用火眼计算哈希计算

9E48BB2CAE5C1D93BAF572E3646D2ECD26080B70413DC7DC4131F88289F49E34

2.分析检材1,搭建该服务器的技术员IP地址是多少?用该地址解压检材2

要找技术员的ip

在火眼中访问登录日志

ip:172.16.80.100

因为要搭建应该要远程连接才能运维,所以选择查看登录日志
3.检材1中,操作系统发行版本号为

运用命令查找

cat /etc/redhat-release

操作系统发行的版本号 7.5.1804(Core)

4.检材1系统中,网卡绑定的静态IP地址为

 启动镜像,创建虚拟机后,会自动重置密码(登录用户为root,密码为123456,因为是第一次做电子取证,不知道在登录时密码是不显示的,以为是虚拟机卡了)

成功登录,查看ip

172.16.80.133

ifconfig

5.检材1中,网站jar包所存放的目录是 

查看历史记录,发现有下载jar包

 查看源文件,查看history发现里面有很多的关于jar的命令,并且都是在/web/app目录下的

 

6.检材1中,监听7000端口的进程对应文件名为 

命令执行看看有没有在监听7000端口的,没有发现,

netstat -anp | grep 7000

 查看历史,看看什么可能是什么文件的执行监听端口,发现后面的jar运行后,有查看端口的操作,所以分别运行jar包

nohup  java  -jar  /web/app/exchange.jar  >/dev/null 2>&1 &
nohup  java  -jar  /web/app/admin.jar  >/dev/null 2>&1 &
nohup  java  -jar  /web/app/market.jar  >/dev/null 2>&1 &
nohup  java  -jar  /web/app/ucenter.jar  >/dev/null 2>&1 &
nohup  java  -jar  /web/app/cloud.jar  >/dev/null 2>&1 &

先进入到/web/app目录下 ,

分别运行5个jar包,在运行结束后再一次查看是否有监听7000端口的

发现工作进程为1508在监听7000端口,查询进程的文件名

ps -aux |grep 7000

监听的文件名为cloud.jar

7.检材1中,网站管理后台页面对应的网络端口为

暂时空一下,网站的页面都不清楚

从15题看回来,检材二中就包含网站,在火眼中就能查看到网站后台的端口

端口:9090

8.检材1中,网站前台页面里给出的APK的下载地址是
9.检材1中,网站管理后台页面调用的用户表(admin)里的密码字段加密方式为?
10.分析检材1,网站管理后台登录密码加密算法中所使用的盐值是

检材二

11.检材2中,windows账户Web King的登录密码是

解压后,用火眼打开就能看见

135790

12.检材2中,除检材1以外,还远程连接过哪个IP地址?并用该地址解压检材3

远程连接ip地址需要用到命令,查看SSH历史输入的命令(SSH系统就是专门用来远程连接的)

SSH:由 IETF制定的建立在应用层基础上的安全网络协议。它是专为远程登录会话(甚至可以用Windows远程登录Linux服务器进行文件互传)和其他网络服务提供安全性的协议,可有效弥补网络中的漏洞。通过SSH,可以把所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。目前已经成为Linux系统的标准配置

ip:172.16.80.128
13.检材2中,powershell中输入的最后一条命令是

启动检材二的镜像后,进入powershell,powershell用于Windows进行系统管理且powershell有终端记忆历史命令的功能,进入后按上键就可以查看历史命令

powershell:

PowerShell是一种功能强大的脚本语言和shell程序框架,主要用于Windows计算机方便管理员进行系统管理并有可能在未来取代Windows上的默认命令提示符。PowerShell脚本因其良好的功能特性常用于正常的系统管理和安全配置工作,然而,这些特性被攻击者理解并转化为攻击特性,也就成为了攻击者手中的攻城利器,给企业网络造成威胁。

 14.检材2中,下载的涉案网站源代码文件名为

在虚拟机中,打开Google浏览器查看下载记录,再解压看看,涉及到网站的只有一个,还有一个app

 文件名:ZTuoExchange_framework-master.zip

15.检材2中,网站管理后台root账号的密码为

密码为root

看到这里,开始涉及网站了,也出现了网址,所以可以回头去做检材一中的关于网站的问题

 16.检材2中,技术员使用的WSL子系统发行版本是

虚拟机powershell中执行

wsl -l -v

版本:20.04

17.检材2中,运行的数据库服务版本号是

在虚拟机中先运行Ubuntuwsl,在用mysql --version查看数据库版本(我认为应该是技术员使用的是WSL子系统,所以要先运行起来才能查看数据库的版本)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/555737.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

50.HarmonyOS鸿蒙系统 App(ArkUI)web组件实现简易浏览器

50.HarmonyOS鸿蒙系统 App(ArkUI)web组件实现简易浏览器 配置网络访问权限: 跳转任务: Button(转到).onClick(() > {try {// 点击按钮时,通过loadUrl,跳转到www.example1.comthis.webviewController.loadUrl(this.get_url);} …

Root mapping definition has unsupported parameters: [all : {analyzer=ik_max_wor

你们好,我是金金金。 场景 我正在使用Springboot整合elasticsearch,在创建索引(分词器) 运行报错,如下 排查 排查之前我先贴一下代码 import org.elasticsearch.action.admin.indices.create.CreateIndexRequest; // 注意这个包SpringBootTe…

Linux中如何安装ImageMagick及其常规使用命令

在Linux中安装ImageMagick可以通过包管理工具进行安装。具体步骤如下: 打开终端(Terminal)。 使用以下命令更新系统软件包列表: sudo apt update使用以下命令安装ImageMagick: sudo apt install imagemagick安装完…

物理机安装centos7并配置基本环境,网络配置,docker配置

1.首先下载镜像Download 2.下载UltraISO 安装docker 第1步:卸载当前版本docker yum erase docker \docker-client \docker-client-latest \docker-common \docker-latest \docker-latest-logrotate \docker-logrotate \docker-selinux \docker-engine-selinux \do…

[生活][杂项] 如何正确打开编织袋

编织袋打开的正确姿势 面对单线分离右边的线头,然后依次拉开即可

YAML教程-1-基础入门

领取资料,咨询答疑,请➕wei: June__Go YAML简介 YAML(YAML Aint Markup Language)是一种用于数据序列化的人类可读格式。它广泛用于配置文件、数据交换、持续集成/持续部署(CI/CD)等领域。YAML的设计目标…

注意,把Python库安装在一个环境里,可能会“非常危险”!

如果说谁写Python不用第三方库,我敬他是条汉子。如今到处是轮子的时代,Python第三方库管理成了开发者们头疼的问题。 可能在看这篇文章的很多人,都没用过Python虚拟环境,不知道安装Python库需要考虑版本兼容问题。 那么把所有要…

基于SpringBoot的健身房管理系统

一.前言 本系统用了 Sping Data JPA 这一不常用的数据库框架,是一个值得学习研究的点。 本项目用户名:admin 密码: admin123 方可进入。项目源码在文章开头,下载到本地导入IDEA,修改配置文件中数据库连接信息后,导入项…

字段名称导致mybatisplus自带方法报错.BadSqlGrammarException: ### Error querying database. C

今天在建一个数据表之后,在springboot中使用了mybatisplus代码生成工具生成了java相关代码,在查询的时候,使用的是list()方法查询,发现居然会报错,找了好久。 org.springframework.jdbc.BadSqlGrammarException: ###…

锁策略和死锁问题

锁策略 乐观锁 vs 悲观锁重量级锁 vs 轻量级锁自旋锁 vs 挂起等待锁读写锁 vs 互斥锁公平锁 vs 非公平锁可重入锁 vs 不可重入锁死锁死锁产生的必要条件如何简单的解决死锁问题 小结 这里不是描述的某个特定锁,而是描述的锁的特性,描述的是"一类锁". 乐观锁 vs 悲观…

人到中年三两事儿

人到中年,常常伴随着一系列的焦虑和烦恼。这些焦虑可能源自对工作的不确定性、对未来的担忧、对家庭责任的增加,或是对个人成就的反思。在这个年纪,我们可能会发现自己站在人生的十字路口,面临着重要的选择和决策。 首先&#xff…

数智时代的AI人才粮仓模型解读白皮书(2024版)

来源:极客邦 自 2023 年上半年起,ChatGPT 等大模型技术蓬勃发展,AI 技术不断突破边界,展现 出惊人的潜力和发展速度。从早期的逻辑推理、专家系统,到如今的深度学习、神经网络, AI 技术显著缩小了科学与实…

【面试经典 150 | 二分查找】搜索旋转排序数组

文章目录 写在前面Tag题目来源解题思路方法一:二分查找 写在最后 写在前面 本专栏专注于分析与讲解【面试经典150】算法,两到三天更新一篇文章,欢迎催更…… 专栏内容以分析题目为主,并附带一些对于本题涉及到的数据结构等内容进行…

Redis中的Lua脚本(二)

Lua脚本 创建排序辅助函数 为了防止带有副作用的函数令脚本产生不一致的数据,Redis对math库的math.random函数和math.randomseed函数进行了替换。对于Lua脚本来说,另一个可能产生不一致数据的地方是哪些带有不确定性质的命令,比如对于一个集…

STM32串口通信

一、串口发送 1.初始化引脚 void Serial_Init(uint32_t BaudRate) {RCC_APB2PeriphClockCmd (RCC_APB2Periph_GPIOA ,ENABLE );RCC_APB2PeriphClockCmd (RCC_APB2Periph_USART1 ,ENABLE );GPIO_InitTypeDef GPIO_InitStructure;GPIO_InitStructure.GPIO_Mode GPIO_Mode_AF_PP…

python自动化之网易自动点歌

这个代码是是使用的pyautogui库和pyperclip库完成的,这个库是开源的地址如下:https://github.com/asweigart/pyautogui这里详细的用法想学习的可以到这看看 下面是代码: import pyautogui import subprocess import pyperclip import time i…

如何进行 ICP 备案/公安部联网备案

👨🏻‍💻 热爱摄影的程序员 👨🏻‍🎨 喜欢编码的设计师 🧕🏻 擅长设计的剪辑师 🧑🏻‍🏫 一位高冷无情的全栈工程师 欢迎分享 / 收藏 / 赞 / 在看…

安装jmeter和ant

安装jmeter和ant 安装java环境 安装jdk和jre 下载Java SE Development Kit 8 Java SE subscribers will receive JDK 8 updates until at least December 2030. 选择指定包进行安装,如windows 共享账号参考:Oracle官网 账号及密码 目前官网下载低…

Java程序生成可执行的exe文件 详细图文教程

1.Java编辑器,如:idea、eclipse等,下载地址:IntelliJ IDEA: The Capable & Ergonomic Java IDE by JetBrainshttps://www.jetbrains.com/idea/2.exe4j,下载地址:ej-technologies - Java APM, Java Prof…

吴恩达<用于LLM应用程序开发的LangChain> L1-Model_prompt_parser

问题预览/关键词 课程地址如何获取openAI的API Key如何根据日期设置不同模型?如何调用OpenAI的API?如何使用OpenAI的API?langchain如何抽象OpenAI的API接口?langchain如何创建提示词模板并查看模板内容?langchain如何使用提示词模板生成提…