2021JXXZ(服务器部分)
12021年7月12日,上午8点左右,警方接到被害人张某(张有财)报案,声称自己被敲诈数万元;经询问,张某被嫌疑人诱导裸聊,下载了某“裸聊”软件,导致自己的通讯录和裸聊视频被嫌疑人获取,对其进行敲诈,最终张某不堪重负,选择了报警;警方从张某提供的本人手机中(手机号为18805533089),定向采集到了该“裸聊”软件,通个裸聊APK软件的分析,警方找到了后台服务器地址,并调取了服务器镜像(web.E01),请各位取证工作者回答下列问题:
检材web.E01的操作系统版本是
检材web.E01中,操作系统的内核版本是
检材web.E01服务器中,最后一条操作命令为:
检材web.E01服务器中,远程连接服务所使用的端口号为:下面对服务器进行分析
能够ping通,说明检材和我们物理机在同一个网段下
检查端口开放情况,以及ssh
检查ssh端口,但是无法用xshell连接,查看配置文件
把注释符去掉,重启服务
有www目录,cd进去,宝塔特征
先关闭宝塔烦人的限制
1bt 23 && bt 11 && bt 12 && bt ...
2022GDBW(服务器部分)
通过SSH服务第一次登录到服务器上的客户端IP地址为?(标准格式:192.168.1.1)
分析服务器ROOT用户输入的最后一条命令为?(标准格式:good)
分析虚假发卡网站源码中配置的数据库用户名为?(标准格式:good)下面开始对服务器进行分析
服务器仿真后,我会用这几个命令大致排查一下
123456ifconfighistorynetstat -nlptcrontab -lcat /etc/crontabcat /etc/rc.d/rc.local
本题中初次仿真服务器,历史命令是很干净的,合理怀疑有定时任务或者开启自启项
发现了一个定时任务
一眼gzexe加密过了
Shell脚本加密与解密-腾讯云开发者社区-腾讯云 (tencent.com)
三句话,分别是,清空历史记录,清空kkk网站的日志,清空shop网站的日志
再看端口开放情况
开放了ssh端口3131,尝试连接
端口是正常开放,服务也正常开启的,但就是连不上
SSH之hosts.allow和hosts.deny文件-腾讯云开发者社区-腾讯云 (tencent.com)
排查这两个文件
限制ip访问s ...
2021HBBW(服务器PC部分)
12021年5月,接某考试信息中心报案称,其单位一存储考生个人信息的服务器疑似被入侵,数据库被破坏并勒索比特币,警方当即固定了服务器的镜像server.e01。经调查警方抓获了嫌疑人并对其使用的笔记本电脑只做了镜像PC.e01,请对两个检材进行分析,并回答下面的问题:
第一部分1. 镜像sever.e01对应的被入侵服务器源盘sha256为98C53B2AC30758EF0977FC313D5D1A070EBF51AE09E0DF36664A5CCF81DF35C5
2. 服务器操作系统内核版本为3.10.0-957.el7.x86_64
3. 服务器配置的网关为192.168.232.2
4. 服务器中有2个登录过的账号
5. 服务器中root账号的密码为nb7001cmd5跑shadow文件跑不出来
后面分析PC时候会出现
6. 入侵者IP为192.168.232.150last+ifconfig
7. 入侵者首次登录成功时间为15:01:08(14:57:17)(14:59:21)(格式要求:HH:MM:SS,如14:03:27)接下来先不看题目,先分析Linux,再来逐 ...
2022ZJXJ(服务器部分)
2022ZJXJ(服务器部分)1、Windows服务器镜像1. 首次远程登录到Windows服务器中的客户端IP地址为?(标准格式:192.168.1.1)
2. 嫌疑人在Windows服务器上搭建的网站数量为?(标准格式:123)
3. 分析涉案网站(www.abcbca.top)使用的数据库密码为?(标准格式:1234567)不熟悉这个网站的架构,爆搜了一下
md5解不出来,尝试爆破密码
4. Windows服务器涉案网站(www.abcbca.top)的日志保存路径为?(标准格式:D:\abc\abc)
5. 分析Windows服务器上搭建的每个网站访问日志,统计相同访问IP的数量为?(标准格式:123456)1234567891011121314151617181920212223import osimport retxt_files = [file for file in os.listdir() if file.endswith('.log')]success_ip = []for file in txt_files: with open( ...
2022HZWA(流量部分)
通过对流量包attack进行分析,该数据流量包的sha1的是多少?(格式填写小写字母与数字组合 如abc23dedf445)
通过对流量包attack进行分析,捕获第一个数据报文的时间是?(格式按年-月-日 填写 如:yyyy-mm-dd 如2000-01-23)
通过对流量包attack进行分析,捕获流量包时使用的接口数量(格式填写数字 如:10)
通过对流量包attack进行分析,获取被攻击的服务IP是多少?(格式数字与.组合填写 如:10.10.1.1)12http and urlencoded-formhttp.response.code!=404 and data-text-lines
把流量大致过一遍
这里看出大概是黑客在扔各种exp上去
两者结合,看出黑客为192.168.94.59,被攻击方为192.168.32.189
通过对流量包attack进行分析,得知攻击者IP是多少?(格式数字与.组合填写 如:10.10.1.1)见上
通过对流量包attack进行分析,得知黑客使用的扫描器是?主流WEB漏洞扫描器种类及其指纹特征分析-腾讯云开发者社区-腾讯云 ( ...
2022HZWA(服务器部分)
通过对小型集群服务器分析,该服务器系统类型是?
通过对小型集群服务器分析,该服务器系统时区是?
通过对小型集群服务器分析,该服务器的sshd端口是多少?(答案格式:填写数字 如:10)
小型集群服务器涉案网站的域名?(答案格式填写小写字母 . 数字组合 如:www.sina.com)12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849[root@localhost nginx]# cat /www/backup/panel/2021-11-24/vhost/nginx/www.huarun.com.conf server{ listen 80; server_name www.huarun.com; index index.php index.html index.htm default.php default.htm default.html; root /www/wwwroot/www.huarun.com; ...