2024年7月3日14:32:042019长安杯服务器部分WP - 服务器取证基础及如何使用 X-Ways Forensics 辅助服务器取证已关闭评论2 views字数 9325阅读31分5秒阅读模式题目是 2019 年长安杯的题目,一共有三个服务器检材和一个计算机检材,服务器部分总体比较基础,覆盖的知识面还是比较广的,所以单独拿出来写一下;计算机部分涉及范围较广,手工取证有一定的挑战,暂时还未完成,敬请期待
。
本次分析主要依赖 X-Ways Forensics 和 ssh 工具,获取难度都不高,强烈推荐大家复现,并祝各位早日爱上 X-Ways Forensics!
案情背景
在一起电诈案件中,受害者称自己的银行卡被他人冒用,曾收到假冒公安的短信,因为自己在一个 P2P 网站中理财,假冒公安称该网站已被列为非法网站,要自己到公安备案网站填写自己的信息,并帮助自己追回本金,因此信以为真,在网站上填写了自己的信息和绑定的银行卡信息;办案机关推测嫌疑人可能是获取了 P2P 网站中的注册用户信息,从而进行定向诈骗,因此调取了P2P 理财网站的服务器,现委派你对该服务器进行电子数据取证。
你获得该P2P 理财网站服务器硬盘镜像文件“检材 1.E01”,根据这个镜像文件,回答下列问题:
1、计算“检材 1.E01”镜像的 SHA256 值是多少( C )
A. 2b20022249e3e5d66d4bbed34ad337be5dd77b313c92dfe929aa56ed71449697
B. 6a574c40548110598bd4c88520d34b37d13b372066737ede3104743f986b7263
C. 5ee0b3809807bf8a39453695c5835cddfd33f65b4f5bee8b5670625291a6bc1c
D. 8495b678da27c64b54f083afefbcf9f83f94c1de133c70c175b4a784551939dd
在 X-Ways Forensics 中创建案件,加载检材,然后使用 工具 -> 计算哈希 功能计算检材的 SHA-256 哈希,快捷键 Ctrl + F2。注意不要直接计算整个 E01 文件的哈希,因为 E01 格式证据文件不仅包括了源盘内容,还包括了描述性信息、校验信息等。如果是 dd、raw、001 等能确定是原始物理镜像的(即没有其他信息),那么既可以加载之后计算其哈希,也可以直接计算文件的哈希。对此,可以做个小实验,把 E01 中的镜像克隆为 dd 格式之后,分别计算哈希,会发现都是一致的。
2、该服务器的操作系统版本是什么( D )
A. CentOS release 6.5 (Final)
B. Ubuntu 16.04.3 LTS
C. Debian GNU/Linux 7.8 (wheezy)
D. CentOS Linux release 7.6.1810(Core)
对于 Linux,一般可以首先定位到 os-release 文件,这里发现是 CentOS,于是继续定位到 centos-release 查看具体版本:
3、该服务器内核版本是多少( A )
A.3.10.0-957.el7.x86_64
B. 3.2.0-4-amd64
C. 4.8.0-52-generic
D. 4.10.0-28-generic
一般来说直接定位到 boot 分区就很明显了,但是还是建议仿真进入系统之后,使用 uname -a 命令查看准确版本,这样错误率会低一些,能有效处理含有多个内核文件的情况。
4、原服务器存在多少硬盘分区?( B )
A.1
B.2
C.3
D.4
一眼下去有四个分区对吧,但是仔细看看后面的第一扇区:
这个磁盘应该是有两个分区,第一个是大小为 1GB 的 boot 分区,第二个是大小为 19GB 的 LVM2 卷,这个 LVM2 卷里面又分出来一个 SWAP 分区和一个 17GB的 root 分区。
仿真后使用 fdisk -l 命令:
所以这里应该理解为是两个分区,一个是 XFS 格式的 boot 分区,一个是 LVM 卷。
5、原服务器中硬盘分区其中含有一个 LVM 逻辑卷的分区,请找出该分区内开始的逻辑区块地址(LBA)。(答案格式:扇区,Sector)( C )
A.0 B.2048 C.2099200 D.4194344
逻辑区块地址,也就是 Logical Block Addressing,这里按照扇区来作答,因此答案就是 LVM2 逻辑卷的起始地址:
6、该 LVM 逻辑卷分区内root 逻辑卷的文件系统是什么?( D )
A.NTFS B.EXT4 C.SWAP D.XFS
如上图。
也可以使用命令查看:
首先是关于上一题的,使用 fdisk -l 确定有一个 LVM,并且得到了起始地址:
然后进一步使用 df -Th 命令查看,能看到挂载到 / 根目录的分区时 XFS 类型的,和使用 X-Ways Forensics 分析出的结果互相印证。
7、该 LVM 逻辑卷分区内root 逻辑卷的物理大小是多少?(单位:byte)( B )
A. 2,147,483,648
B. 2,147,504,128
C. 18,249,416,704
D. 20,400,046,080
本题在 X-Ways Forensics 中也是秒出:
在 Linux 下,像上一题一样继续使用 df 命令查看,但是不知道怎么看到字节数,于是可以 df --help 或者 man df 来查看帮助:
得知可以继续使用 -B 参数指定大小,于是使用 df -Th -B 命令来同时显示磁盘类型和磁盘大小(以字节为单位):
使用 fdisk -l 列出的信息来看,和 X-Ways Forensics 得到的一致,估计是 df 没有把文件系统的一些元数据算进去。
8、请找出该服务器的网站访问端口是什么?( D )
A.22 B.25 C.80 D.8091
使用 netstat -tunlp 显示当前网络连接信息:
拖不下去了,想办法连个 ssh 到这个服务器上面去。
使用 ip addr 或 ip a 命令查看 IP 地址:
此处获取到的 IP 地址的网段和虚拟机网卡配置的一致,因此大概率是正常获取到了 IP 的,如果不一致先把虚拟网络配置改一下,最好是虚拟机软件迁就仿真的系统。
然后 vim /etc/ssh/sshd-config 修改 ssh 配置,直接输入 /PasswordA 跳转到 PasswordAuthentication 项,将这一行改为:
PasswordAuthentication yes
以允许密码登录,然后记得查看 ssh 的端口号,改完之后 systemctl restart sshd 重启 sshd 服务,此时应该就能连上了。现在这个虚拟机的 IP 是:192.168.71.136
然后挨个访问一下题目设问的端口就能知道答案了。
当然这样不严谨,回到上面的网络信息,可以看到有 docker,所以看一下 docker 是啥情况:
可以看到有两个正在运行的,一个是把 docker 内的 80 端口映射到 8091 端口,一个是把 ssh 的端口映射到 39999 端口,而 80 端口那个是 nginx 的,结合前面的分析这个就是网站端口。
9、该服务器中运行了 docker 应用,在本地有多少 docker 镜像?( B )
A.10 B.11 C.12 D.13
注意区分 镜像(images)和 容器(containers)的概念,这里是 images:
可以直接数,也可以用 wc -l 简化一下(记得减掉第一栏标题栏):
10、该 docker 应用的 server 版本是多少?( C )
A.16.05.2
B.17.03.8
C.18.09.7
D.19.03.3
只有 C 符合了。
11、该 docker 应用中总共有多少容器节点?( A )
A.10 B.11 C.12 D.13
同时下面几道题的答案也出来了。
12、运行中的容器节点有多少?( C )
A.1
B.2
C.3
D.4
13、在运行中的容器节点中,其中一台容器名称为 romantic_varahamihira 的容器节点,它的hostname 是什么?( D )
A. 16fc160060c1
B. 1ef6292872e0
C. 753abb28b629
D. 53766d68636f
14、上题容器节点中,占用了主机的哪个端口?( D )
A.25 B.8012 C.8091 D.未占用端口
没有占用的,因为没有映射出去,所以不算是占用了。
15、在运行中的容器节点中,其中一台容器 ID 为 15debb1824e6 的容器节点,它运行了什么服务?( B )
A.ftp B.ssh C.nginx D.smtp
sshd,提供的是 ssh 服务。
16、上题容器节点中,占用了主机的哪个端口?( C )
A.22 B.8091 C.39999 D.未占用端口
17、该服务器中网站运行在 docker 容器中,其中 web 服务使用的是什么应用?( C )
A.apache B.tomcat C.nginx D.IIS
18、上题所述运行 web 服务的容器节点,使用的镜像名称是什么?(格式 REPOSITORY:TAG)( D )
A. apache: latest
B. tomcat: jessie-slim
C. nginx: jessie-slim
D. nginx: latest
19、上题所述容器节点占用的容器端口是什么?( B )
A.22 B.80 C.8091 D.未占用端口
注意是容器端口,不是主机的端口。
20、网站目录所在的容器内部路径为(格式:容器 ID:路径)( B )
A. d1085c1a8828:/home/ vue2-element-touzi-admin
B. 53766d68636f:/ home/ vue2-element-touzi-admin
C. 16fc160060c1:/var/www/ vue2-element-touzi-admin
D. 15debb1824e6: /var/www/ vue2-element-touzi-admin
想快速解题,建议使用 X-Ways Forensics 进行辅助,右键并递归浏览,然后过滤这个目录:
此外也可以挨个尝试:
答案选 B。
21、网站目录所在的主机路径为下列选项中的哪个?( A )
A./var/lib/docker/overlay2/cca977c8ca4a251023000285fbc8b4556636e1adc53cb012c84133a7b857abfc/diff/home/vue2-element-touzi-admin
B./var/lib/docker/overlay2/fd27756120785ef656c9211b6147ef5f38d6a9811006d85359458f7fa 8d45415/diff/home/vue2-element-touzi-admin
C./var/lib/docker/overlay2/f405ba5e3f1f0e04a3585fbc95a47d13b4009dd9d599ac91015babebd 5a5ff9b/diff/var/www/ vue2-element-touzi-admin
D./var/lib/docker/overlay2/d42b9a02aa87386b137242f691cb3e6303c4c0f3441419efb17ff550fd f5de28/diff/var/www/ vue2-element-touzi-admin
docker inspect 即可:
也可以直接看 X-Ways Forensics 的结果。
22、网站日志的路径在哪?(格式:容器 ID:路径)( )
A. 53766d68636f:/etc/nginx/logs/jrweb.log
B. 53766d68636f:/var/log/access.log
C. 16fc160060c1:/etc/nginx/logs/jrweb.log
D. 16fc160060c1:/var/log/access.log
既然是使用的 nginx ,那么就先到 nginx 的容器中看一下情况:
docker exec -it 16 /bin/bash
# 然后查看 nginx 的配置信息
cat /etc/nginx/nginx.conf
对应上了,所以选 C。
23、案发当时,该服务器的原始 IP 地址是多少?( A )
A.192.168.160.89 B.192.168.184.100 C.192.168.120.111 D.192.168.184.128
在容器内使用 more /etc/nginx/logs/jrweb.log 命令查看访问日志,满眼都是这个 IP:
24、在 docker 中,各容器节点和主机之间的网络连接模式是什么?( A )
A. bridge 模式
B. host 模式
C. container 模式
D. none 模式
docker inspect 查看:
稳妥起见都看一遍:
25、当我们想将网站重构好时,访问网站时,web 应用在其中承担什么样的工作?( B )
A.运行网站 B.转发 C.反向代理 D.负载均衡
26、从网站日志中,我们可以看到嫌疑人入侵服务器所使用的 IP 是( )
A.192.168.184.1 B.192.168.160.89 C.192.168.184.133 D.192.168.160.169
翻日志的时候看到的。
27、网站目录中网站的主配置文件是哪一个?(相对路径)( ?)
A./config/index.js B./server/api.js C./server/index.js D./src/main.js
这道题没啥技术难度,应该主要是看个人的理解,我理解的是配置相关的文件夹下的配置文件就是著配置文件。
这个是 config 下的:
这个是 server 下的:
这个是 main 下的:
这个是 api.js:
其实反倒是觉得这个比较像,里面定义了很多接口信息。
28、该网站使用的是什么数据库?( C )
A.mysql B.oracle C.mongodb D.redis
mongoose:像是 MongoDB OSE 的简称。以下题目主要都出自这张截图。
29、所使用数据库的端口是多少?( D )
A.1521 B.3306 C.6379 D.27017
30、数据库所在服务器 IP 是多少?( D )
A.192.168.160.131 B.192.168.184.131 C.192.168.160.169 D.192.168.184.129
31、数据库的用户名是什么?( A )
A. root B.tougu C.admin D.goose
32、数据库的密码是什么?( D )
A.123456 B. admin C.goose D.root
33、该网站所使用的数据库库名是什么?( B )
A.root B.tougu C.admin D.goose
34、在案发时,黑客对该服务器某个文件/目录进行了加密,请问是哪个文件/目录?( A )
A.~/.bash_history B./var/log/ C./etc/ssh/sshd_config D.~/ runit-agent.txt
刚登入服务器的时候就看到了一个名叫 encrypt(5) 的可执行程序(大多数发行版下会自动着色为绿色),实在是可疑,检查一下 .bash_history:
你获得了该P2P 理财网站数据库服务器硬盘镜像文件“检材 2.E01”,根据这个镜像文件,回答下列问题:
35、该数据库服务器使用数据库的安装路径在哪?( D )
A. /etc/mysql/
B. /home/redis/
C. /etc/mongo/
D. /var/lib/mongo/
一般来说 /etc 是放配置文件的,按经验一般是装在 /var 下面的,检查一下:
那应该就是了。
现在进行仿真,依旧是修改 sshd 配置,然后连接上去。
36、数据库的配置文件的路径?( C )
A./var/lib/mongo/mongo.conf
B./var/lib/mongo/mongod.conf
C./etc/mongod.conf
D./home/redis/redis.conf
37、数据库的日志文件路径在哪里?( C )
A./etc/redis.log
B./var/log/mongodb.log
C./var/log/mongodb/mongod.log
D./var/lib/mongo/mongo.log
38、该数据库的网站用户表名是什么?( B )
A.user B.users C.touzi D.licai
大家还想得起上一个检材的这个数据库配置文件吗:
\var\lib\docker\overlay2\cca977c8ca4a251023000285fbc8b4556636e1adc53cb012c84133a7b857abfc\diff\home\vue2-element-touzi-admin\server\db.js
所以这里应该就是 users 表。
这里也想办法先连上数据库再说:
首先在 SSH 菜单里让 Navicat 连入服务器,然后配置数据库连接:
端口、验证数据库、用户名、密码都是从上述数据库配置文件中得到的:
mongodb://root:[email protected]:27017/tougu?authSource=admin
39、该数据库中网站用户表里的密码字段加密方式是( D )
A.未加密 B.双重 MD5
C.MD5 加 salt D.MD5
还是这个文件,发现密码是 string 格式的,说明不了问题,那就再检查一下日志:
能确定是 md5 的了。
/var/lib/docker/overlay2/cca977c8ca4a251023000285fbc8b4556636e1adc53cb012c84133a7b857abfc/diff/home/vue2-element-touzi-admin
40、该用户表被做过什么样的修改?( B )
A. 删除用户 B. 修改用户密码 C.修改用户名 D.添加用户
\root\.dbshell 文件,修改了用户密码。
41、嫌疑人对该数据库的哪个库进行了风险操作?( C )
A.licai B.touzi C.tougu D.admin
同步搜索一下:
发现 drop 相关的还挺多,不过 X-Ways Forensics 里面不是很方便进行查看,所以在外部程序中查看:
本来就怀疑是 drop 操作了,结果定眼一看还真是:
所以风险操作就是把 tougu 给 dropDatabase 了。
42、嫌疑人对上述数据库做了什么样的风险操作?( D )
A.修改库名 B.添加库 C.查询库 D.删除库
43、嫌疑人在哪个时间段内登陆数据库?( D )
A.18:03-18:48
B.18:05-18:45
C.18:01-18:50
D.18:05-18:32
这个数据库服务器是云服务器,所以作为基本检查项,应该看一下登陆记录:
也可以使用 last 命令。
虽然 B 也行,但是 D 更精确,所以应该是 D。
PS. 刚才数据库的日志里面没有找到相关的日志,加上时间也比较符合,所以就是在登陆日志里面找的。
44、嫌疑人在什么时间对数据库进行了 42 题所述的风险操作?( A )
A.18:09:37 B.18:09:40 C.18:09:44 D.18:09:50
经调查,你扣押获得了一台嫌疑人使用过的 VPN 服务器,并用服务器硬盘制作成“检材 3.E01”
镜像文件,根据该镜像文件,回答下列问题。
45、该服务器所使用的VPN 软件,采用了什么协议( B )
A.L2TP B.PPTP C.IPSec D.NFS
刚拿到镜像,没啥思路,先搜搜看吧:
记得多开几个线程,嘻嘻。
好像有一个叫 pptpd.conf 的配置文件。看一下:
怀疑确实使用了这个工具,.bash_history 印证了这一点:
所以就是 PPTP。
46、该服务器的时区为( D )
A. Asia/ShangHai
B. Asia/Tokyo
C. Asia/Bangkok
D. Asia/Dhaka
timedatectl 命令即可查看:
大坑!大坑!大坑!一定要注意时区问题,就算是没有设问,也一定要检查时区!!!
47、该服务器中对VPN 软件配置的 option 的文件位置在哪里?( A )
A. /etc/ppp/options.pptpd B./var/lib/vpn/options.pptpd C./etc/ipsec/options.ipsecd D./etc/l2tp/options.l2tpd
哎呀我又不会了,那就递归浏览 + 过滤文件名吧:
得到这个符合题目设问:
\etc\ppp\options.pptpd
48、VPN 软件开启了写入客户端的连接与断开,请问写入的文件是哪个?( A )
A.wtmp B.btmp C.ftmp D.tmp
49、VPN 软件客户端被分配的 IP 范围是( B )
A.192.168.184.1-192.168.184.11
B.192.168.184.12-192.168.184.18
C.192.168.184.19-192.168.184.26
D.192.168.184.27-192.168.184.35
50、由 option 文件可以知道,option 文件配置了VPN 软件的日志路径为( D )
A./var/lib/logs/ B./etc/logs/ C./var/log/pptp/ D./var/log/
51、VPN 软件记录了客户端使用的名称和密码,记录的文件是( C )
A. /etc/l2tp/chap-secrets
B. /etc/ipsec/pap-secrets
C. /etc/ppp/chap-secrets
D. /etc/ppp/pap-secrets
赛棍做法:递归浏览 + 过滤
非赛棍做法:定位到 VPN 相关的目录,挨个查看,在 \etc\ppp\chap-secrets 中发现了名称和密码。
52、在服务器时间 2019-07-02_02:08:27 登陆过 VPN 客户端的用户名是哪个?( A )
A. root
B. vpn1
C. vpn2
D. vpn3
找到日志文件,发现题目所问时间与日志记录时间一致,于是直接搜索、定位到该处,用户名是 root。
53、上题用户登陆时的客户 IP 是什么?( D )
A. 192.168.184.133
B. 172.16.81.101
C. 192.168.184.134
D. 192.168.43.238
54、通过 IP172.16.80.188 登陆VPN 服务器的用户名是哪个?( B )
A. root
B. vpn1
C. vpn2
D. vpn3
或者在虚拟机中搜索:
55、上题用户登陆 VPN 服务器的北京时间是( D )
A. 2019-07-11_10:46:50
B. 2019-07-11_11:30:36
C. 2019-07-13_14:15:37
D. 2019-07-13_16:15:37
哈哈,果然有大坑,这次问北京时间了。前面知道服务器的时区是 UTC+6 的,而北京时间是 UTC+8,所以找到之后要在原来的时间上加两个小时。四个选项里面只有 D 符合。
56、该服务器曾被进行过抓包,请问 network.cap 是对哪个网卡进行抓包获得的抓包文件?( B )
A.eth0 B.ens33 C.ens37 D.ens160
本来以为有数据包,过滤了一下没找到:
于是同步搜索:
检查了一遍之后,把这个文件给忘了,仔细看看:
57、对 ens37 网卡进行抓包产生的抓包文件并保存下来的是哪个?( D )
A. network.cap
B. network1.cap
C. net0713.cap
D. net0713-1.cap
但是这个题不是多选题,再看看:
所以剩下的是 net0713-1.cap,也就是D选项。
58、从保存的数据包中分析可知,出口的 IP 为( A )
A. 172.16.80.92
B. 172.16.81.101
C. 172.16.81.188
D. 172.16.80.133
这个网卡是用来转发流量的,里面有不少 PPTP 协议的,刚好和前面对应,所以过滤一下这个协议:
明显是 A。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论