2022长安杯

校验md5命令:certutil -hashfile 【filename】 MD5

1.SHA256值,火眼哈希值分析即可

2.搭建服务器技术员的IP地址:登录日志中查看同一个登录IP

3.检材中操作系统的发行版本号:仿真镜像使用命令cat /etc/redhat-release

4.网卡绑定的静态IP地址:仿真中使用ifconfig命令

5.jar包存放目录:查看历史命令,发现多次进入/web/app目录,并执行npm等指令,进入后发现有多个jar包,确定为网站jar包所存放目录

6.检材1中监听7000端口的进程对应文件名:将jar包全部导出,用反编译器查看是哪个jar包使用了7000端口

7.检材1中,网站管理后台页面对应的网络端口为

8.检材1中,网站前台页面里给出的APK的下载地址是

9.检材1中,网站管理后台页面调用的用户表(admin)里的密码字段加密方式为:反编译admin-api.jar包,通过搜索试探md5,在最后发现md5.key,判断为md5

10.分析检材1,网站管理后台登录密码加密算法中所使用的盐值是:盐值:md5算法中加密或解密过程中“撒”(夹杂)的随机数,找到md5.key即为盐值

img

11.检材2中,windows账户Web King的登录密码:火眼分析——用户列表 or 仿真系统自动识别出账户密码

12.检材2中,除检材1以外,还远程连接过哪个IP地址?Xshell——会话

13.检材2中,powershell中输入的最后一条命令是: Windows中的Powershell位置是%USERPROFILE%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

img

14.检材2中,下载的涉案网站源代码文件名为:镜像仿真检材2,下载中多个zip文件,通过搜索ZTuoExchange_framework发现符合本次比赛的案情。

15.检材2中,网站管理后台root账号的密码为:谷歌浏览器中有保存的密码

16.检材2中,技术员使用的WSL子系统发行版本是:

WSL(Windows Subsystem for Linux)是一种在[Windows操作系统]上运行Linux环境的兼容层。

仿真windows系统中有两个子系统乌班图,题说为技术员所使用即有数据可以找到wsl位置通过对比两个文件大小or直接打开子系统发现20.04可直接进入命令行而22.04则需要配置or使用指令wsl -l -v

17.检材2中,运行的数据库服务版本号是

18.上述数据库debian-sys-maint用户的初始密码是

  1. 检材3服务器root账号的密码是:系统SSH历史输入命令,发现曾使用sshpass对172.16.80.128进行连接,连接密码为h123456

20.检材3中,监听33050端口的程序名为:历史命令中嫌疑人进入了/data/mysql 后使用docker-compose up进入目录后查看.yml配置文件,发现使用了33050,启动后发现程序名

21.除mysql外,该网站还依赖以下哪种数据库?对于admin-api.jar分析中,使用了redis以及mongo

22.mysql数据库root账号的密码是?admin-api.jar包中datasource中存在password密码 or docker-compose配置文件中找到(cat docker-compose.yml)

23.MySQL数据库在容器内部的数据目录为?cat上述配置文件得volumes:- /data/mysql/db:/var/lib/mysql可得后者var/lib/mysql为数据目录 or 进入容器内部找到相关信息

24.涉案网站调用的MySQL数据库名为?分析admin-api.jar包在url一列有连接数据库为b1的信息

img

25.勒索者在数据库中修改了多少个用户的手机号?在/data/mysql/db中.log日志文件里通过搜索update(修改/更新数据)发现对mobile_phone修改了三次

26.勒索者在数据库中删除的用户数量为?在上述日志文件中搜索delete(删除数据)发现删除了b1数据库的member表的内容(delete from ‘b1’’.’’member’)从973到1000删除了28个用户

img

27.还原被破坏的数据库,分析除技术员外还有哪个IP地址登陆过管理后台网站?