當前位置：首頁 >

复盘第二届长安杯电子取证习题

發布時間：2023/12/20 40 豆豆

生活随笔收集整理的這篇文章主要介紹了复盘第二届长安杯电子取证习题小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

CONTENT

（一）需要提前準備的內容
（二）題目及解析
1.檢材 1 的操作系統版本是（）
2.檢材 1 中，操作系統的內核版本是（）
- 1—2解析
- - 答案
3.檢材 1 中磁盤包含一個 LVM 邏輯卷，該 LVM 開始的邏輯區塊地址（LBA）是（）
- 3解析
- - 答案
4.檢材 1 中網站“www.kkzjc.com”對應的 Web 服務對外開放的端口是（）
- - 答案
5.檢材 1 所在的服務器共綁定了（）個對外開放的域名
- 解析
- - 答案
6.檢材 1 所在的服務器的原始 IP 地址是（）
7.嫌疑人曾經遠程登錄過檢材 1 所在的服務器，分析并找出其登錄使用的 IP 地址是（）（并使用該地址解壓檢材 2）
- 6—7解析
- - 答案
8.檢材 1 所在的服務器，其主要功能之一為反向代理。找出“www.kkzjc.com”轉發的后臺網站所使用的 IP 地址是（）（并用該 IP 地址解壓檢材 3）
- 解析
- - 答案
9.嫌疑人曾經從題 7 的 IP 地址，通過 WEB 方式遠程訪問過網站，統計出檢材 1 中該 IP 出現的次數為（）（答案格式：“888” 純數字）
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.
1.

（一）需要提前準備的內容

（二）題目及解析

檢材鏈接如下：
https://pan.baidu.com/s/1ch2-1H_dgkrNYZ0LMUz9_A?pwd=alex
##取證過程可能涉及的軟件
弘連火眼仿真（搭配vmware workstation），火眼數據分析，網探，XShell
Navicat Premium 15
dnSpy
IIS(重構網站需要windows開啟對應IIS服務，詳情見百度)

1.檢材 1 的操作系統版本是（）

A. CentOS release 6.5 (Final)
B. Ubuntu 16.04.3 LTS
C. Debian GNU/Linux 7.8 (wheezy)
D. CentOS Linux release 7.6.1810 (Core)

2.檢材 1 中，操作系統的內核版本是（）

（答案格式：“1.2.34” 數字和半角符號）

1—2解析

打開火眼仿真，對檢材1中DD文件創建虛擬機，登錄
溫馨提示，賬號：root，密碼：123456
輸入命令查詢操作系統和內核版本

cat /proc/version /*linux查看當前操作系統版本信息*/ uname -a /*linux查看版本當前操作系統內核信息*/

如下圖所示

答案

1.D
2. 3.10.0

3.檢材 1 中磁盤包含一個 LVM 邏輯卷，該 LVM 開始的邏輯區塊地址（LBA）是（）

（答案格式：“12345678” 純數字）

3解析

打開火眼數據分析，導入檢材1文件,查看分區詳情，可知LVM邏輯卷大小對應分區3，打開分區詳情可知其對應開始的LBA

答案

2099200

4.檢材 1 中網站“www.kkzjc.com”對應的 Web 服務對外開放的端口是（）

（答案格式：“123456” 純數字）
解析：涉及網站內部文件，需要連接服務器進一步了解
先在檢材1虛擬機中查看ens33的ip地址（192.168.1.128）

ifconfig /*用于配置和顯示Linux內核中網絡接口的網絡參數*/

小知識點：RedHat/CentOS 7的網卡名字叫做ens33。
既不是0開始也不是傳統的eth開頭，eth很好理解嘛，ethernet的縮寫。
RedHat/CentOS 7系列采用dmidecode采集命名訪問，采用了硬件相關信息，可以實現網卡名字永久唯一化。

查看端口和服務

netstat -antp

了解到ssh對應端口為7001，到此，已獲悉所有連接服務器所需信息
打開網探，連接服務器

了解一個服務器最好的方式是看歷史操作記錄，一般日志文件都能被掃描出來
在一般情況下歷史日志的具體位置 (/root/.bash_history)

打開網站——nginx——查看配置文件nginx.conf
（很顯然該網站用的是nginx，畢竟你點其他apache還是tomcat都沒有文件）

很顯然，配置文件中沒有我們想要的直觀的信息，主要是因為配置單個文件太大，如果出了什么問題，排查起來很復雜，所以一般會分散開來，并被include進去，所以下一步打開/etc/nginx/conf.d/*.com

于是找到了www.kkzjc.com的相關配置信息

答案

32000

5.檢材 1 所在的服務器共綁定了（）個對外開放的域名

解析

見上圖，有3個.com所以就是3個對外開放的域名
雖然是這個道理，但是這樣解釋太過蒼白，難以令人信服
在第4題netstat -anpt中我們看到

nginx：master分走30000，31000，32000
ssh對應的7001是登錄服務器的端口
127.0.0.1：25和0：：1：25是master運載起來的端口
所以很顯然答案就在30000，31000，32000
細心的小朋友會發現如果向打開www.kkzjc.com一樣點進/etc/nginx/conf.d/*.com中其他2個.com文件
分別對應以上3個listen，易證共有3個對外開放的域名

答案

6.檢材 1 所在的服務器的原始 IP 地址是（）

7.嫌疑人曾經遠程登錄過檢材 1 所在的服務器，分析并找出其登錄使用的 IP 地址是（）（并使用該地址解壓檢材 2）

6—7解析

題6
不太理解其中ip的彎彎繞繞如何代理的過程，檢材2既然登錄過服務器，在瀏覽器中輸入的ip地址即為服務器的原始ip，要么登錄檢材2看瀏覽器的歷史記錄，要么在檢材1的日志看看有沒有線索
查看docker日志

[root@localhost ~]# docker logs 08f

輸出很多，翻一下可以看到

/docker-entrypoint.sh: Configuration complete; ready for start up 192.168.99.222 - - [19/Sep/2020:17:39:48 +0000] "GET / HTTP/1.1" 200 612 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-" 2020/09/19 17:39:48 [error] 21#21: *1 open() "/usr/share/nginx/html/favicon.ico" failed (2: No such file or directory), client: 192.168.99.222, server: localhost, request: "GET /favicon.ico HTTP/1.1", host: "192.168.99.3:8091" 192.168.99.222 - - [19/Sep/2020:17:39:48 +0000] "GET /favicon.ico HTTP/1.1" 404 153 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-" 192.168.99.222 - - [19/Sep/2020:17:41:03 +0000] "GET / HTTP/1.1" 200 612 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-" 2020/09/19 17:41:03 [error] 21#21: *2 open() "/usr/share/nginx/html/favicon.ico" failed (2: No such file or directory), client: 192.168.99.222, server: localhost, request: "GET /favicon.ico HTTP/1.1", host: "192.168.99.3:8091" 192.168.99.222 - - [19/Sep/2020:17:41:03 +0000] "GET /favicon.ico HTTP/1.1" 404 153 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-" 192.168.99.222 - - [19/Sep/2020:17:43:45 +0000] "GET /dl HTTP/1.1" 200 1829 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-" 192.168.99.222 - - [19/Sep/2020:17:43:45 +0000] "GET /res/img/dr/login/l4.gif HTTP/1.1" 200 417 "http://192.168.99.3:8091/dl" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-" 192.168.99.222 - - [19/Sep/2020:17:43:45 +0000] "GET /res/img/dr/login/l6.gif HTTP/1.1" 200 385 "http://192.168.99.3:8091/dl" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-" 192.168.99.222 - - [19/Sep/2020:17:43:45 +0000] "GET /res/img/dr/login/l1.gif HTTP/1.1" 200 764 "http://192.168.99.3:8091/dl" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-" 192.168.99.222 - - [19/Sep/2020:17:43:45 +0000] "GET /res/img/dr/login/l5.jpg HTTP/1.1" 200 26535 "http://192.168.99.3:8091/dl" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-"

192.168.99.3：8091/dl 第7題答案也有了
ps：后面會用到
題7
既然曾遠程登陸過服務器，那么服務器登錄日志會記錄下來
所以退出docker后輸入last命令查看

[root@localhost ~]# last root pts/0 192.168.1.1 Thu Aug 11 13:10 still logged in root tty1 Thu Aug 11 10:45 still logged in reboot system boot 3.10.0-957.el7.x Thu Aug 11 18:44 - 14:22 (-4:-21) root pts/0 192.168.127.1 Tue Aug 9 07:39 - crash (2+11:04) root tty1 Tue Aug 9 07:37 - crash (2+11:06) reboot system boot 3.10.0-957.el7.x Tue Aug 9 15:37 - 14:22 (1+22:45) root pts/0 192.168.127.1 Mon Aug 8 07:02 - crash (1+08:34) root tty1 Mon Aug 8 06:26 - crash (1+09:10) reboot system boot 3.10.0-957.el7.x Mon Aug 8 14:26 - 14:22 (2+23:56) root tty1 Mon Aug 8 01:40 - crash (12:45) reboot system boot 3.10.0-957.el7.x Mon Aug 8 09:40 - 14:22 (3+04:42) reboot system boot 3.10.0-957.el7.x Mon Aug 8 09:40 - 14:22 (3+04:42) root pts/0 192.168.120.1 Mon Oct 19 16:17 - 16:17 (00:00) reboot system boot 3.10.0-957.el7.x Tue Oct 20 00:15 - 14:22 (660+14:07) root pts/1 192.168.120.1 Mon Oct 19 16:03 - crash (08:12) root pts/0 192.168.120.1 Mon Oct 19 15:58 - 15:58 (00:00) root tty1 Mon Oct 19 15:57 - crash (08:18) reboot system boot 3.10.0-957.el7.x Mon Oct 19 23:56 - 14:22 (660+14:26) reboot system boot 3.10.0-957.el7.x Mon Oct 19 23:53 - 14:22 (660+14:29) root tty1 Sun Sep 20 01:38 - crash (29+22:14) reboot system boot 3.10.0-957.el7.x Sun Sep 20 09:37 - 14:22 (690+04:44) root tty1 Sun Sep 20 01:31 - 17:37 (-7:-54) reboot system boot 3.10.0-957.el7.x Sun Sep 20 01:31 - 17:37 (-7:-54) reboot system boot 3.10.0-957.el7.x Sat Sep 5 01:17 - 17:37 (14+16:20) root pts/0 192.168.99.222 Sat Sep 5 00:52 - down (00:24) root pts/0 192.168.99.222 Sat Sep 5 00:48 - 00:51 (00:02) root tty1 Sat Sep 5 00:38 - 01:17 (00:38) reboot system boot 3.10.0-957.el7.x Sat Sep 5 00:37 - 01:17 (00:39) root pts/0 192.168.99.222 Sat Sep 5 00:23 - crash (00:13) reboot system boot 3.10.0-957.el7.x Sat Sep 5 00:23 - 01:17 (00:53) root pts/0 192.168.99.222 Sat Sep 5 00:18 - down (00:04) root tty1 Sat Sep 5 00:18 - 00:23 (00:04) reboot system boot 3.10.0-957.el7.x Sat Sep 5 00:18 - 00:23 (00:05) root pts/1 192.168.99.222 Wed Sep 2 22:53 - crash (2+01:25) root pts/0 192.168.99.222 Wed Sep 2 19:07 - crash (2+05:10) root tty1 Wed Sep 2 19:06 - 02:41 (07:34) reboot system boot 3.10.0-957.el7.x Wed Sep 2 19:05 - 00:23 (2+05:17) wtmp begins Wed Sep 2 19:05:53 2020

經常做虛擬機的小朋友可能會發現，一般XX:XX:XX:1是虛擬機設置的ip
排除干擾項便知是192.168.99.22經常登錄訪問服務器

答案

6.192.168.99.3
7.192.168.99.22

8.檢材 1 所在的服務器，其主要功能之一為反向代理。找出“www.kkzjc.com”轉發的后臺網站所使用的 IP 地址是（）（并用該 IP 地址解壓檢材 3）

解析

見第4題解析中，www.kkzjc.com網站的配置信息

server {listen 32000;server_name www.kkzjc.com;if ($host != 'www.kkzjc.com'){return 403;}#charset koi8-r;#access_log /var/log/nginx/host.access.log main; *************************************************************************************************location / {proxy_pass http://127.0.0.1:8091; pass給8091端口，其在題4netstat -antp命令中沒有出現過index index.html index.htm;} *************************************************************************************************#error_page 404 /404.html;# redirect server error pages to the static page /50x.html#error_page 500 502 503 504 /50x.html;location = /50x.html {root /usr/share/nginx/html;}# proxy the PHP scripts to Apache listening on 127.0.0.1:80##location ~ \.php$ {# proxy_pass http://127.0.0.1;#}# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000##location ~ \.php$ {# root html;# fastcgi_pass 127.0.0.1:9000;# fastcgi_index index.php;# fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;# include fastcgi_params;#}# deny access to .htaccess files, if Apache's document root# concurs with nginx's one##location ~ /\.ht {# deny all;#} }

根據history大概可以知道8091可能是與docker相關，所以在虛擬機中開啟docker（或在xshell里連，都差不多）

docker ps -a /*顯示所有的容器，包括未運行的*/ systemctl start docker /*啟動docker服務*/ docker ps /*列出容器*/

關鍵信息：0.0.0.0：8091->80/tcp ,也就是說，容器內部的80端口對應容器外部的8091端口
所以進入docker內部
為方便翻頁操作，轉戰xshell，進入docker

docker exec -it 80 bash [root@localhost ~]# docker exec -it 08f6 bash root@08f64376a2e3:/# history /*來都來了，看看history基操勿6*/1 more /etc/nginx/conf.d/hl.conf 2 exit3 ls /*且用history淺談取證思路*/4 cat /etc/nginx/nginx.conf /*在上面我們已經講過nginx的配置文件信息*/5 cd /etc/nginx/conf.d/ /*如果沒有include會講不完出問題很麻煩，所以cd進入conf.d*/6 ls /*簡單瀏覽當前文件夾下包含文件信息*/7 cat hl.conf /*hl.conf肯定有點東西*/**********************************************以下內容略*****************************************************************8 cd /etc/nginx/9 cd conf.d/10 ls11 cat default.conf `12 cat default.conf 13 more default.conf 14 more hl.conf 15 rm16 ls17 rm default.conf 18 nginx -t19 nginx -s reload20 ls21 cd /etc/nginx/conf.d/22 ls23 cat hl24 cat hl.conf 25 vi26 vim27 cat ../nginx.conf 28 history29 cd /etc/nginx/nginx.conf30 cd /etc/nginx/conf.d/31 vi /etc/nginx/conf.d/32 vi /etc/nginx/conf.d33 vi conf.d34 cat nginx.conf35 cd ..36 vi conf.d37 vim conf.d38 cat conf.d39 cat nginx.conf40 cd /etc/nginx/conf.d/*.conf41 cd /etc/nginx/conf.d/42 ls43 cat hl.conf44 exit45 cd /var/log/nginx/access.log error.log46 cd /var/log/nginx/access.log 47 cd /var/log/nginx/48 ls49 cat access.log50 exit

實踐是檢驗真理的唯一標準

所以下一步看看conf.d有什么內容

root@08f64376a2e3:/# cd /etc/nginx/conf.d/ root@08f64376a2e3:/etc/nginx/conf.d# ls hl.conf root@08f64376a2e3:/etc/nginx/conf.d# cat hl.conf //查看donf.d的獨生子hl.conf的信息// server {listen 80;#charset koi8-r;#access_log /var/log/nginx/host.access.log main;#location / {# root /usr/share/nginx/html;# index index.html index.htm;#}#error_page 404 /404.html;# redirect server error pages to the static page /50x.html#error_page 500 502 503 504 /50x.html;location = /50x.html {root /usr/share/nginx/html;}# proxy the PHP scripts to Apache listening on 127.0.0.1:80location / {proxy_pass http://192.168.1.176:80; //docker外8091端口對接docker內80端口，其ip為192.168.1.176//}# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000##location ~ \.php$ {# root html;# fastcgi_pass 127.0.0.1:9000;# fastcgi_index index.php;# fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;# include fastcgi_params;#}# deny access to .htaccess files, if Apache's document root# concurs with nginx's one##location ~ /\.ht {# deny all;#} }

答案

192.168.1.176

9.嫌疑人曾經從題 7 的 IP 地址，通過 WEB 方式遠程訪問過網站，統計出檢材 1 中該 IP 出現的次數為（）（答案格式：“888” 純數字）

1.

總結

以上是生活随笔為你收集整理的复盘第二届长安杯电子取证习题的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇：像素是什么意思,像素与分辨率的区别
下一篇：枫叶防注入程序漏洞