数证杯决赛-团体赛（服务器）

容器密码：

mW7@B!tRp*Xz46Y9#KFUV^J2&NqoHqTpLCE%8rvGW(AX#1k@YL3$M5!bWY*9HLFq7UZR6^T!XoVmPK28J&CY9%6(Arz#tbU4oXYKLp7Wq^FV9H

服务器取证

1. [填空题]请写出服务器系统内核版本;(答案格式:1.1.1-11-abcdefe)(1分)

参考答案：6.8.0-48-generic

2. [填空题]请写出服务器的ens33网卡的ip地址;(1分)

参考答案：10.172.29.128

3. [填空题]请写出mysql数据库密码;(4分)

先添加一个动态网卡，连上finalshell，以便后面进行网站重建等操作

根据题干分析，数据库密码肯定会存储在网站与数据库的配置文件中，故现在需求就是找到网站源码的数据库配置文件；

分析常见建站目录“home、www”文件夹，发现可疑jar包，导出分析即可（与初赛相同）

参考答案：123568

4. [填空题]后台服务中注册中心的服务端口是多少?(答案格式:纯数字)(2分)

接上题，定位到网站目录后发现其log日志都做了压缩，且通过题干分析，第一想到的就是查看日志，故逐一查阅，关键词“注册中心”过滤

参考答案：7000

5. [填空题]服务器nginx日志中,哪个ip访问系统最为频繁?(答案格式:6.6.6.6)(6分)

关键时候只能靠AI，注意日志不要限定死，加个通配符

参考答案：56.111.197.176

6. [填空题]请写出平台管理员密码加密算法;(答案格式:aes)(3分)

加密算法肯定存在于jar包中，原因可以参考个人赛-服务器wp，直接全局搜索关键词“登录成功”

参考答案：md5

7. [填空题]假设某管理员密码是123456,请问该管理员的密码在数据库中存储的值是多少?(答案格式:如有字母,全大写)(5分)

上提已经定位到加密方式了，本题难点在定位盐值，然后直接用现有加密方式套用即可，本题难点在其加密盐值放入了配置文件中（这次这点很特殊，第一次见），或者全局搜索即可

直接套用加密方式计算即可，ai或者公网机

参考答案：985eb5b028065701341a478a9215e7b2

8. [填空题]已知某人卖出了5.2个ETH/USDT,请问他的二级推荐人可以获得多少个ETH佣金?(答案格式:写出数字即可,保留小数点后5位)(6分)

（这题没搞定，有点难）复盘一下才理解，先从源码搜索关键词“佣金”

AI读源码吧

所以此时的难点就在费率、一级邀请人奖励比例和二级邀请人奖励比例

先翻一下数据库数据，找到目标库，费率为0.001，一级邀请人为0.9，二级邀请人为0.1

继续ai解答

参考答案：0.00052

9. [填空题]请找到受害人“王涵”的手机号;(1分)

连接数据库搜索“王涵”

参考答案：15780139471

10. [填空题]请写出嫌疑人的违法交易网站的中文名称;(答案格式:2个汉字)(3分)

通过netstat命令发现nginx配置端口，直接本地浏览器访问，不加hosts了，直接ip+端口访问，不过注意这个源码前端已经写死了127.0.0.1，最好直接在虚拟机中运行

通过分析，发现只有输入用户名和验证码的字段，直接F12看一下，发现其实是密码字段而不是验证码字段，修改过来

接上图，一共需要修改三处，第一处是密码字段，第二处是将真正验证码显示出来，替换数据库密码，进行登录

参考答案：币严

11. [填空题]请写出数据库中Recharge表的status字段中,0代表的中文含义;(1分)

先通过题干对应的数据库和网站确定status=1为已到账

然后直接在jar包中搜索已到账，确定status=0的中文含义

参考答案：未到账

12. [填空题]平台中所有账户中ETH余额最多的地址是多少?(答案格式:0x123F ... )(6分)

这一题当时做的时候有点懵，因为网站重建起来发现答案是0，不过通过下题的题干提示发现还有区块链，故想到有可能这部分数据藏在区块链中

geth工具启动方式查阅下题，这边主要看一下运行脚本

初学者，考试只能靠AI

参考答案：0x928f5963c03340077a8d2375657fb3395fe4a790

13. [填空题]区块链搭建工具是?(答案格式:abcd)(1分)

通过ai和桌面的json在结合计算机解析的结果综合分析

参考答案：geth

1. [填空题]区块链对外提供的的http端口是?(2分)

启动geth，启动方式查看桌面中的运行脚本

参考答案：8545

14. [填空题]服务器网站数据库使用的字符集为?(答案格式:如有字母,请小写)(1分)

参考答案：utf8mb4

15. [填空题]由于服务器定时清理了交易数据,请找寻整个区块链中最大的交易金额(答案格式:0x123F ... )(6分)

Ai的时代来临了，以后比武不备个大模型都不好意思参加

参考答案：0xbb218c4bd443824260673a92b575f6c249085b6e482d89f1445fdb4ba487b9f2

16. [填空题]请写出嫌疑人在chrome上使用的钱包名称;(答案格式:如有字母全小写)(2分)

参考答案：metamask

17. [填空题]请写出chrome钱包插件使用的pbkdf2加密算法的轮次;(答案格式:纯数字)(4分)

运行插件“metamask”，右键“inspect”,查看源代码，搜索加密算法的关键词“pbkdf2”，找到salt相关的信息，在salt值前即可看到加密算法的轮次。

参考答案：600000

18. [填空题]Chrome钱包密码的算法中对iv的加密方式是什么?(答案格式:如有字母请小写,如md5)(4分)

上述位置尝试登录，失败打断点调试查阅即可

参考答案：aes-gcm

19. [填空题]已知服务器中嫌疑人的钱包登录密码为八位纯数字生日1994 ****，请写出该密码;(6分)

考试的时候一个一个输入的，三个人5分钟就出来了哈哈，19940822

参考答案：19940822

原文始发于微信公众号（取证与溯源）：数证杯决赛-团体赛（服务器）