2020长安杯取证大赛部分wp

2020长安杯

阶段1

案情简介：接群众举报，网站“www.kkzjc.com”可能涉嫌非法交易，警方调取了该网站的云服务器镜像（检材 1.DD）

请对检材 1 进行分析，获取证据，并根据线索解锁更多检材，深入挖掘出更多与案件有关的信息。

仿真的时候看到了

最后因为hyper-v的原因开不了仿真。。。。

从文件系统看了看确实也是

为啥不是 3.10.0-957?

取证大师可知分区2为LVM

硬盘总扇区数为：

相减得

查看nginx配置文件

`

查看nginx的配置文件，可以看到三个网站的配置文件

因为nginx转发请求到docker了，所以想到查看docker容器的nginx日志，容器内nginx的日志与/dev/stdout做了软连接，所以要用主机中docker logs命令查看日志

docker logs 容器id

查看docker日志，可以看到Referer是从192.168.99.3来的

ssh日志中有俩ip，但是我结合第九题可知为192.168.99.222

进到docker里，查看nginx的配置

依旧是利用docker日志，但是不知道为啥我数的是18个？

第二阶段

略

运行安装包的时间是：

但是取证大师给出的安装日期是?

弘连的日期更。。。

玄学

见15题

找到iPhone备份

使用的是doge收款，就是狗狗币了

见上图

不会

github有个爆破虚拟机密码的脚本

https://www.ershicimi.com/p/a85955bf672a9dc6e412ad70648870fd

https://github.com/axcheron/pyvmx-cracker

按照说明运行即可

解密后即可取证

查找xshell的用户配置文件

Xshell的凭证存储用到了当前用户名与SID，以二者组合的SHA256 hash值作为密钥，加密算法是ARC4。

用户名和SID可以用whoami /user获取：

解密工具或脚本：

https://github.com/DoubleLabyrinth/how-does-Xmanager-encrypt-password

https://github.com/jnewing/xdec

https://github.com/dzxs/Xdecrypt

获取sid

S-1-5-21-1539269504-2238408660-2242313689-1000

解密：

第三阶段

仿真可得

经测试，就这一个好使的

找到数据库管理类和解密函数

跟进

查看填充字符是啥

空格，妥了

同上

同上上

第四阶段