2020长安杯
阶段1
案情简介:接群众举报,网站“www.kkzjc.com”可能涉嫌非法交易,警方调取了该网站的云服务器镜像(检材 1.DD)
请对检材 1 进行分析,获取证据,并根据线索解锁更多检材,深入挖掘出更多与案件有关的信息。
仿真的时候看到了
最后因为hyper-v的原因开不了仿真
。。。。
从文件系统看了看确实也是
为啥不是
3.10.0-957
?
取证大师可知分区2为LVM
硬盘总扇区数为:
相减得
查看nginx配置文件
查看nginx的配置文件,可以看到三个网站的配置文件
因为nginx转发请求到docker了,所以想到查看docker容器的nginx日志,容器内nginx的日志与/dev/stdout
做了软连接,所以要用主机中docker logs命令查看日志
docker logs 容器id
查看docker日志,可以看到Referer是从192.168.99.3来的
ssh日志中有俩ip,但是我结合第九题可知为192.168.99.222
进到docker里,查看nginx的配置
依旧是利用docker日志,但是不知道为啥我数的是18个?
第二阶段
略
运行安装包的时间是:
但是取证大师给出的安装日期是
?
弘连的日期更。。。
玄学
见15题
找到iPhone备份
使用的是doge收款,就是狗狗币了
见上图
不会
github有个爆破虚拟机密码的脚本
https://www.ershicimi.com/p/a85955bf672a9dc6e412ad70648870fd
https://github.com/axcheron/pyvmx-cracker
按照说明运行即可
解密后即可取证
查找xshell的用户配置文件
Xshell的凭证存储用到了当前用户名与SID,以二者组合的SHA256 hash值作为密钥,加密算法是ARC4。
用户名和SID可以用whoami /user获取:
解密工具或脚本:
https://github.com/DoubleLabyrinth/how-does-Xmanager-encrypt-password
https://github.com/jnewing/xdec
https://github.com/dzxs/Xdecrypt
获取sid
S-1-5-21-1539269504-2238408660-2242313689-1000
解密:
第三阶段
仿真可得
经测试,就这一个好使的
找到数据库管理类和解密函数
跟进
查看填充字符是啥
空格,妥了
同上
同上上