本栏目主要是针对比赛题目进行分析和解题思路分享，只进行知识分享，不具一定的实战能力，后台不解答涉及可能侵害他人权利的问题，切勿用于违法犯罪活动。如果有工作方面的解答需求，请后台联系添加微信私聊。

2023年龙信杯服务器2部分

上一期内容：https://mp.weixin.qq.com/s/y7rSjQgwN9wa-it2LxlcSQ

案情介绍

2023年9月，某公安机关指挥中心接受害人报案:通过即时通讯工具添加认识一位叫“周微”的女人，两人谈论甚欢，确定网上恋爱关系，后邀约裸聊，受害人上钩后，“周微”和受害人进行裸聊，整个过程被涉诈团伙录音录像。同时周倩以自己做直播“涨粉”为由，引导受害人下载其事先制作好的木马APP，受害人安装该APP后，嫌疑人利用录制的视频和受害人的通讯录做要挟，从而实施诈骗。
公安机关接警后，通过技术手段抓取了一段流量包，且通过公安机关的侦查与分析，锁定了该诈骗团伙的业务窝点，具了解，该团伙成员通过Telegram 联系ETH币商收币，双方在线上确定好了交易时间和交易金额（交易额为300万人民币），并先由卖币方转0.5个ETH到买币方钱包。双方人员碰头后，商定分两笔交易交割，第一笔交易价值100万的虚拟货币、第二笔交易价值200万的虚拟货币。第一笔100万的币从卖币方的地址转到中转地址（由中间人控制），再由中转地址转到买币方提供的收币地址，买币方收到币后将带来的100万现金给卖币方清点，第一笔交易完成。犯罪分子开始第二笔交易时，被警方当场截获。并将相关嫌疑人抓获，扣押安卓手机1部，笔记本电脑1台，调证服务器2台，以上检材以分别制作了镜像。检材清单见附件。请结合案情，对上述检材进行勘验与分析，完成以下题目。

龙信杯的题目适合入门，题目整体难度不大，同时具备很多知识点。这套题是服务器2部分，与1相比更多的在于使用sql语句进行分析，如果对数据库不了解的话，可以先学习一下数据库基础，了解表与表之间的关系。主要涉及的知识点有数据库恢复、数据库查询、服务器日志查看以及网站重建和数据库重建。

地址：后台发送电子数据取证每日一练

赛题和工具网盘地址：后台发送电子数据取证每日一练可以得到题目和工具（不分享企业厂商工具）

学习目标：了解网站重构和数据库重构，会使用sql语言进行数据库分析

使用工具（在网盘地址中提供）：Arsenal Image Mounter、X-ways、Winhex、Finalshell、navicat、VMware Workstation、stellar repair for mysql

难度：中等难度

题目一览

1.请分析宝塔面板中默认建站目录是___。（标准格式：/etc/www）

2.在宝塔数据库目录有一个只含有一个表结构的数据库，请找到该“表结构文件”并分析出第六个字段的字段类型是___。（标准格式：int(11)）

3.请分析“乐享金融”网站绑定的域名是___。（标准格式：www.baidu.com）
4.请访问“乐享金融”数据库并找到用户表，假设密码为123456，还原uid为2909，用户名为goyasha加密后密码的值是___。（标准格式：abcdefghijklmnopqrstuvwsyz）
5.请重建“乐享金融”，访问平台前台登陆界面，会员登陆界面顶部LOGO上的几个字是___。（标准格式：爱金融）
6.请分析“乐享金融”一共添加了___个非外汇产品。（标准格式：5）
7.请分析“乐享金融”设置充值泰达币的地址是___。（标准格式：EDFGF97B46234FDADSDF0270CB3E）
8.请分析“乐享金融”充值金额大于582402元的受害人充值总金额是___。（标准格式：12345678）
9.请分析“乐享金融”银行卡号“6239039472846284913”绑定用户的用户名是___。（标准格式：张三）
10.请分析“乐享金融”建仓时间为“2022/03/01 18:44:01”，平仓时间为“2022/03/01 18:52:01”，以太坊/泰达币的这一笔交易的平仓价格是___。（标准格式：1888.668）
11.请分析“乐享金融”订单编号为“202112090946233262”平仓时间是___。（标准格式：2022-1-11.1:22:43）
12.宝塔面板某用户曾尝试进行一次POST请求，参数为“/BTCloud?action=UploadFilesData”，请问该用户疑似使用的（ ）电脑系统进行访问请求的。
A.Windows 8.1
B.Windows 10
C.Windows 11
D.Windows Server 2000
13.请分析该服务器镜像最高权限“root”账户的密码是___。（标准格式：a123456）

本题所需知识点

与服务器1的基本一致，传送门：https://mp.weixin.qq.com/s/y7rSjQgwN9wa-it2LxlcSQ

1.数据库文件

1.数据文件（Data Files）
    InnoDB：
         .ibd 文件：存储 InnoDB 表的数据和索引。
    MyISAM：
          .MYD 文件：存储 MyISAM 表的数据。
          .MYI 文件：存储 MyISAM 表的索引。
2.表定义文件（.frm 文件）
      .frm 文件：存储表的结构定义，包括列、索引、约束等信息。每个表对应一个 .frm 文件。
      例如，如果有一个表名为 users，则会有一个 users.frm 文件，包含该表的结构定义。
3.日志文件（Log Files）
     InnoDB 日志文件：包括重做日志文件（通常为 ib_logfile0 和 ib_logfile1）。
     错误日志（Error Log）：记录 MySQL 服务器的错误和警告信息，通常为 hostname.err 文件。
     二进制日志（Binary Log）：记录所有更改数据的语句，用于复制和恢复。
     慢查询日志（Slow Query Log）：记录执行时间超过阈值的查询。

4.配置文件（Configuration Files）
my.cnf 或 my.ini：MySQL 的配置文件，包含服务器的配置信息。
5.控制文件（Control Files）
ibdata 文件：存储 InnoDB 系统表空间，包含表和索引的元数据等。
6.临时文件（Temporary Files）
用于存储临时表和临时结果集。

7.锁文件（Lock Files）
用于管理 MySQL 实例的锁定状态，防止多个实例同时运行。

2.hashcat破解密码

在 Hashcat 中，-m 参数用于指定哈希类型，而 -a 参数用于指定攻击模式。下面是一些常见的 -m 和 -a 参数的用法：

常用的 -m 参数（哈希类型）

- `0`：MD5
- `100`：SHA1
- `1400`：SHA256
- `500`：MD5 Crypt
- `3200`：bcrypt
- `1800`：SHA512 Crypt
- `1000`：NTLM
- `1500`：descrypt, DES(Unix)
- `2100`：Domain Cached Credentials (DCC), MS Cache
- `13100`：Kerberos 5, etype 23, AS-REP
- `2500`：WPA/WPA2
- `16800`：WPA3
- `5500`：NetNTLMv1 / NetNTLMv1+ESS
- `5600`：NetNTLMv2
- `7300`：IPMI2 RAKP HMAC-SHA1
- `12500`：RAR3-hp
- `13000`：RAR5
- `13100`：Kerberos 5 TGS-REP etype 23
- `18200`：Kerberos 5 TGS-REP etype 17
- `15200`：Apple Secure Notes
- `17500`：MS Office 2013
- `17600`：MS Office 2016

常用的 -a 参数（攻击模式）

- `0`：字典攻击（Dictionary attack）
- `1`：组合攻击（Combination attack）
- `3`：掩码攻击（Mask attack）
- `6`：字典 + 掩码攻击（Dictionary + Mask attack）
- `7`：掩码 + 字典攻击（Mask + Dictionary attack）
- `9`：混合字典攻击（Hybrid Dictionary attack）

示例命令

1.使用字典攻击破解 MD5 哈希

• m 500：指定哈希类型为 MD5。

• a 0：指定攻击模式为字典攻击。

hashcat -m 500 -a 0 hashes.txt rockyou.txt

2.使用掩码攻击破解 NTLM 哈希

• m 1000：指定哈希类型为 NTLM。

• a 3：指定攻击模式为掩码攻击。

• ?l?l?l?l?d?d?d?d：掩码模式，尝试四个小写字母和四个数字的组合。

hashcat -m 1000 -a 3 hashes.txt ?l?l?l?l?d?d?d?d

3.使用组合攻击破解 SHA1 哈希

• m 100：指定哈希类型为 SHA1。

• a 1：指定攻击模式为组合攻击。

• wordlist1.txt 和 wordlist2.txt：两个字典文件。

hashcat -m 100 -a 1 hashes.txt wordlist1.txt wordlist2.txt

4.使用规则攻击破解 SHA256 哈希

• m 1400：指定哈希类型为 SHA256。

• a 0：指定攻击模式为字典攻击。

• r rules/best64.rule：使用规则文件。

• hashes.txt：包含哈希值的文件。

• rockyou.txt：字典文件。

hashcat -m 1400 -a 0 -r rules/best64.rule hashes.txt rockyou.txt

5.使用混合字典攻击破解 bcrypt 哈希

• m 3200：指定哈希类型为 bcrypt。

• a 9：指定攻击模式为混合字典攻击。

• rockyou.txt：字典文件。

hashcat -m 3200 -a 9 hashes.txt rockyou.txt

题目解析

1.请分析宝塔面板中默认建站目录是___。（标准格式：/etc/www）

先进行绕密仿真，修改shadow里面的root用户hash

使用root登录，并设置好宝塔面板

---

登录之后查看建站目录

2.在宝塔数据库目录有一个只含有一个表结构的数据库，请找到该“表结构文件”并分析出第六个字段的字段类型是___。（标准格式：int(11)）

kill掉数据库的相关进程，然后重启数据库服务

用数据库恢复工具，恢复表结构后看到是char(128)，原数据库中只有frm文件也就是表结构，没有表数据，因此要进行恢复。恢复过程是将data文件用finalshell从服务器上面下载到本地再加载路径。

3.请分析“乐享金融”网站绑定的域名是___。（标准格式：www.baidu.com）

和服务器1一样，都是查看绑定的域名，在宝塔面板管理中能查看

4.请访问“乐享金融”数据库并找到用户表，假设密码为123456，还原uid为2909，用户名为goyasha加密后密码的值是___。（标准格式：abcdefghijklmnopqrstuvwsyz）

找到加密方式：用用户密码+时间戳进行md5来判断密码是否正确

tips：代码能力不强的同学，可以尝试安装一个本地的大语言模型（教程在网上搜），然后让ai进行分析

利用代码规则，生成加密的密码

5.请重建“乐享金融”，访问平台前台登陆界面，会员登陆界面顶部LOGO上的几个字是___。（标准格式：爱金融）

重构发现访问不了，看一下运行目录下面，发现连个脚本都没有

找到登录的文件目录下面，然后找到调用的图片

上面写的是睿文化

6.请分析“乐享金融”一共添加了___个非外汇产品。（标准格式：5）

在sjp数据库里面，有一个产品的表单，删除了三个，还剩5个产品类

这里要注意产品也有被删除的，所以写语句的时候要注意

一共有两个产品

7.请分析“乐享金融”设置充值泰达币的地址是___。（标准格式：EDFGF97B46234FDADSDF0270CB3E）

usdt是泰达币，地址是：85CF33F97B46A88C7386286D0270CB3E

8.请分析“乐享金融”充值金额大于582402元的受害人充值总金额是___。（标准格式：12345678）

这里的重置金额不知道是只单次充值还是总充值金额，这里把两种结果都写一下

第一种，总充值金额，用户表中有一个充值列

另一种，在交易记录中筛选，结果为101000087

9.请分析“乐享金融”银行卡号“6239039472846284913”绑定用户的用户名是___。（标准格式：张三）

张教瘦

10.请分析“乐享金融”建仓时间为“2022/03/01 18:44:01”，平仓时间为“2022/03/01 18:52:01”，以太坊/泰达币的这一笔交易的平仓价格是___。（标准格式：1888.668）

建仓和平仓就是买入和卖出

价格表单在wp_order表里面，转换一下时间戳，分别是1646131441和1646131921

11.请分析“乐享金融”订单编号为“202112090946233262”平仓时间是___。（标准格式：2022-1-11.1:22:43）

发现表里面没有这个订单，看一下有没有备份，果然有数据库备份

恢复数据库之后就好了：1639014743

https://www.epochconverter.com，因为是+8，所以是2021-12-09 09:52:23

12.宝塔面板某用户曾尝试进行一次POST请求，参数为“/BTCloud?action=UploadFilesData”，请问该用户疑似使用的（ ）电脑系统进行访问请求的。

A.Windows 8.1B.Windows 10C.Windows 11D.Windows Server 2000

在宝塔面板的日志目录下面，挨个看，或者用xways搜

用Xways搜索时，注意进行磁盘快照分析压缩包

13.请分析该服务器镜像最高权限“root”账户的密码是___。（标准格式：a123456）

这里因为前面绕密了，所以要重新开一个镜像来看root用户

用Xways打开，这里挂载太慢了，就没挂载；然后找到shadow文件，用hashcat破解root

用hashcat进行破解，$1$时MD5，用-m 500 来进行破解，最后得到密码g123123

总结

这套题目主要是对linux的服务器进行了解析，从镜像仿真到网站重构，基本涉及到了常用的服务器取证技巧。更多的涉及到了数据分析部分，同时数据分析也是取证的一个重要知识点，可以选择自己写sql语言，也可以部署本地大模型来辅助分析。

原文始发于微信公众号（网络安全与取证研究）：电子数据取证每日一练-服务器部分2