2020长安杯

链接成功

检材一

1	检材 1 的操作系统版本是 ()A. CentOS release 6.5 (Final)B. Ubuntu 16.04.3 LTSC. Debian GNU/ Linux 7.8 (wheezy)D. CentOS Linux release 7.6.1810 (Core)
	D

2	检材 1 中，操作系统的内核版本是 ()(答案格式： “1.2.34” 数字和半角符号)	10
	3.10.0

3	检材 1 中磁盘包含一个 LVM 逻辑卷，该 LVM 开始的逻辑区块地址 (LBA) 是 () (答案格式： “12345678” 纯数字)	10
	2099200

4	检材 1 中网站“www.kkzjc.com”对应的 Web 服务对外开放的端口是 ()(答案格式： “123456” 纯数字)	10
	32000

仿真进去之后看到这个访问配置文件

访问这个文件，就可以看到端口

5	检材 1 所在的服务器共绑定了 () 个对外开放的域名(答案格式： “123” 纯数字)	10
	3

6	检材 1 所在的服务器的原始 IP 地址是 ()(答案格式： “172. 172.172.172” 半角符号)	10
	192.168.99.3

先要开启这个docker

systemctl start docker

然后访问

docker logs 08

看到一直有个222的IP访问目的IP的8091端口。8091其实就是本机nginx的反向代理端口，所以可以确定这个就是本机的原始IP。

7	嫌疑人曾经远程登录过检材 1 所在的服务器，分析并找出其登录使用的 IP 地址是 () (并使用该地址解压检材 2)(答案格式： “172. 172.172.172” 半角符号)	10
	192.168.99.222

8	检材 1 所在的服务器，其主要功能之一为反向代理。找出“www.kkzjc.com”转发的后台网站所使用的 IP 地址是 () (并用该 IP 地址解压检材 3)(答案格式： “172. 172.172.172” 半角符号)	10
	192.168.1.176

连接网探这里使用连接代理

先进入到agent 复制agent 这里选择linux

然后就会生成一个forkd

开启服务上传到靶机

然后赋权 chmod 777 forkd

然后执行./forkd

选择代理模式好像是有什么正向反向代理

这里选择proxy 就是代理模式

后面端口什么的一般都默认了可以检查一下那个密钥对不对如果不对的话就复制一下

链接成功

先查看这个网页的配置文件

看到通过8091端口转发

然后查看一下端口映射

发现是通过docker

所以要进入到docker中去

docker ps查看所有容器，加个-a查看正在运行的

docker exec -it 容器名/容器ID /bin/bash进入容器，查看历史命令

查看文件

然后看这个bash文件查看历史命令

可以看见查看了h1

所以进入到这个h1.conf中查看

9	嫌疑人曾经从题 7 的 IP 地址，通过 WEB 方式远程访问过网站，统计出检材 1 中该 IP 出现的次数为 () (答案格式：“888” 纯数字)	10
	18

docker logs -f sever1 | grep -c 192.168.99.222

检材二

10	检材 2 的原始磁盘 SHA256 值为 ()(答案格式： “abcdefg” 不区分大小写)	10
	2D926D5E1CFE27553AE59B6152E038560D64E7837ECCAD30F2FBAD5052FABF37

11	检材 2 所在计算机的 OS 内部版本号是 ()(答案格式： “12345.7895” 半角符号)	10
	18363.1082

12	检材 2 所在计算机最后一次正常关机的时间为 ()(答案格式： “1970- 10-01 10:01:45” 精确到秒，半角符号)	10
	2020-09-22 13:15:34

13	检材 2 中，VMware 程序的安装时间为 ()(答案格式： “2020-01-01 21:35” 精确到分钟，半角符号)	10
	2020-09-18 17:54

直接看运行时间还不行要看安装包运行的时间

这也是一个套路。

14	检材 2 中，Vmware.exe 程序总计启动过 () 次(答案格式： “5” 纯数字)	10
	8

15	嫌疑人通过 Web 方式，从检材 2 访问检材 1 所在的服务器上的网站时，连接的目标端口是 () (答案格式： “12345” 纯数字)	10
	8091

16	接 15 题，该端口上运行的进程的程序名称 (Program name) 为 ()(答案格式： “avahi-deamon” 字母和半角符号组合)	10
	docker-proxy

这个在检材1就看过了

懒得再开网探了刚才其实都看过了

netstat -ntlp

17	嫌疑人从检材 2 上访问该网站时，所使用的域名为 ()(答案格式： “www.baidu.com” 半角符号)	10
	www.sdhj.com

18	检材 2 中，嫌疑人所使用的微信 ID 是 ()(答案格式： “abcde8888” 字母数字组合)	10
	sstt119999

并没有找到微信

直接搜索weixin或者wechat也不行

然后在最近访问的项目里面找到一个手机的镜像

找到这个tar文件

导出来之后解压反正我拿bandzip是报错但是应该也不影响分析

反正然后按照文件集导入也是分析出来了

好吧还是被破坏了

就是要用盘古石的手机取证导入苹果的tar文件就能分析出来

19	分析检材 2 ，嫌疑人为推广其网站，与广告位供应商沟通时使用的通联工具的名称为 () (答案格式： “Wechat ” 不区分大小写)	10
	telegram

20	分析检材 2 ，嫌疑人使用虚拟货币与供应商进行交易，该虚拟货币的名称是 ()(答案格式： “bitcoin” 不区分大小写)	10
	dogecoin

21	上述交易中，对方的收款地址是 ()(答案格式： “abC1de3fghi” 大小写字母数字组合)	10
	DPBEgbwap7VW5HbNdGi9TyKJbqTLWYYkvf

22	上述交易中，嫌疑人和供应商的交易时间是 ()(答案格式： “2020-01-01 21:35:54” 精确到秒，半角符号)	10
	2020-09-20 12:53

直接搜索狗狗币就可以进入到官网

然后搜索收款地址就可以找到时间这个时间还要加上8小时

22	上述交易中，嫌疑人支付货币的数量为（）(答案格式:“8888”纯数字)	10
	4000

24	检材 2 中，嫌疑人使用的虚拟机的虚拟磁盘被加密，其密码为 ()(答案格式： “aoeiou”小写字母)	10
	zzzxxx

在聊天记录找到说这个虚拟机密码的解密的

Vmware虚拟磁盘文件解密_pyvmx-cracker-master-CSDN博客

GitHub - axcheron/pyvmx-cracker: Simple tool to crack VMware VMX encryption passwords

python pyvmx-cracker.py -v x.vmx -d wordlist.txt

25	检材 2 中，嫌疑人发送给广告商的邮件中的图片附件的SHA256 值为 () ； (忽略邮件状态)(答案格式： “abcdefg” 小写字母)	10
	cc7ea3ab90ab6b28417e08c715c243ce58ea76d71fd141b93f055a58e9ba561a

回收站里面找到

直接在里面计算

certutil -hashfile 路径 sha256

这里要分析win10的话就要先接触加密不然什么都分析不出来

我是先把这个vmx文件导出来然后在本地进行移除加密

虚拟机设置-选项-移除加密

输入密码zzzxxx就可以移除

但是解密到一半说因为io错误无法解密

所以我又到虚拟机里面解密了

成功解密

再打开就不需要密码了

火眼可以直接分析

27	检材 2 中，嫌疑人的邮箱密码是 ()(答案格式： “abcde123456” 字母符号数字组合，区分大小写)honglian7001	10
	honglian7001

检材 2 中，嫌疑人使用了 () 远程管理工具，登录了检材 1 所在的服务器。(答案格式： “abcde” 字母，不区分大小写)

xshell

29	检材 2 中，嫌疑人使用上述工具连接服务器时，使用的登录密码为 ()(答案格式： “aBcd#123” 数字符号字母组合，区分大小写)qwer1234!@#$	10
	qwer1234!@#$

检材三

30	检材 3 的原始磁盘 SHA256 值为 ()(答案格式： “abcdefg” 不区分大小写)	10
	FF593FCCB3770B8845A3334631F8E80807638EE722C5AA7B34E877589857C3BA

31	检材 3 所在的计算机的操作系统版本是 ()A. Windows Server 2012B. Windows Server 2008 R2C. Windows Server 2008 HPC EditionD. Windows Server 2019 LTSB	10
	C

32	检材 3 中，部署的网站名称是 ()(答案格式： “abcdefg” 小写字母)	10
	card

33	检材 3 中，部署的网站对应的网站根目录是 ()(答案格式： “d :\path1\path2\path3” 绝对路径，半角符号，不区分大小写)	10
	c:\inetpub\wwwroot\v7w

34	检材 3 中，部署的网站绑定的端口是 ()(答案格式： “12345” 纯数字)	10
	80

35	检材 3 中，具备登陆功能的代码页，对应的文件名为 ()(答案格式： “index.html ” 字母符号组合，不区分大小写)	10
	dllogin.aspx

发现dr文件夹下有一个login文件夹里面有个dllogin.asp文件

预览一下

看到这个title就是登录

36	检材 3 中，请对网站代码进行分析，网站登录过程中，代码中对输入的明文密码作了追加 () 字符串处理(答案格式： “a1b2c3d4” 区分大小写)	10
	OvO

就在刚才的文件里面

37	检材 3 中，请对网站代码进行分析，网站登录过程中，代码中调用的动态扩展库文件的完整名称为 ()(答案格式： “abc.html.ABC” 区分大小写，半角符号，包含扩展名)	10
	App_Web_dllogin.aspx.7d7c2f33.dll

38	检材 3 中，网站登录过程中，后台接收到明文密码后进行加密处理，首先使用的算法是 Encryption 中的 () 函数(答案格式： “Bcrypt ” 区分大小写)	10
	AESEncrypt

这里要把这个动态调试文件App_Web_dllogin.aspx.7d7c2f33.dll导出来

其他软件都打不开需要用到dnspy逆向工具

然后在dr_login_dllogin里面找到aes加密

39	检材 3 中，分析该网站连接的数据库地址为 () 并使用该地址解压检材 4(答案格式： “172. 172.172.172” 半角符号)	10
	192.168.1.174

dr_login_dllogin中数据库有关的函数是DUserLogin

点一下转到WDUser

点DBcon类转到DBcon里面

AESDecrypt解密

string connectionString = Encryption.AESDecrypt("Mcyj19i/VubvqSM21YPjWnnGzk8G/GG6x9+qwdcOJd9bTEyprEOxs8TD9Ma1Lz1Ct72xlK/g8DDRAQ+X0GtJ8w==", "HL", "forensix");

Add-Type

PS C:\Users\wy199\Desktop> add-type -path .\DBManager.dll
PS C:\Users\wy199\Desktop> [DBManager.Encryption]::AESDecrypt("Mcyj19i/VubvqSM21YPjWnnGzk8G/GG6x9+qwdcOJd9bTEyprEOxs8TD9Ma1Lz1Ct72xlK/g8DDRAQ+X0GtJ8w==", "HL", "forensix")
server=192.168.1.174,1433;uid=sa;pwd=c4f2737e88;database=v7sq3;