2020第二届长安杯电子数据竞赛试题(二次修改版),本人亲解,尽量做到细致仔细,镜像百度网盘奉上,建议大家联系一下,弘连题目还是很好的(强烈推荐)
百度云鏈接
鏈接:https://pan.baidu.com/s/1iEItwBUZx6X4_oe_ZfQlvw?pwd=ybww
提取碼:ybww
-來自百度網盤超級會員V2的分享
如果鏈接失效了,可以隨時私我,我會再給大家一個新鏈接的。
——————————————————分割線——————————————————————
| 第二屆長安杯電子數據競賽試題 | ||
| 序號 | 題目內容 | 分數 |
| 案情簡介:接群眾舉報,網站“www.kkzjc.com”可能涉嫌非法交易,警方調取了該網站的云服務器鏡像(檢材 1.DD),?請對檢材?1 進行分析,獲取證據,并根據線索解鎖更多檢材,深入挖掘出更多與案件有關的信息。 | ||
| 1 | 檢材?1 的操作系統版本是 (D) A.????CentOS?release?6.5 (Final) B. ????Ubuntu?16.04.3 LTS C. ????Debian?GNU/ Linux?7.8 (wheezy) D.????CentOS?Linux?release?7.6.1810 (Core) | 10 |
| 2 | 檢材 1?中,操作系統的內核版本是 () (答案格式: ?“1.2.34” 數字和半角符號) 1、uname -r : 顯示操作系統的發行版號 建議看弘連 | 10 |
| 3 | 檢材 1 中磁盤包含一個 LVM?邏輯卷,該 LVM?開始的邏輯區塊地址 (LBA) 是 ()?(答案格式: ?“12345678” 純數字) 理解關系 一、物理卷、邏輯卷、卷組、快照卷之間的聯系 物理卷(Physical Volume,PV):就是指硬盤分區,也可以是整個硬盤或已創建的軟RAID,是LVM的基本存儲設備。 卷組(Volume Group,VG):是由一個或多個物理卷所組成的存儲池,在卷組上能創建一個或多個邏輯卷。 邏輯卷(Logical Volume,LV):類似于非LVM系統中的硬盤分區,它建立在卷組之上,是一個標準的塊設備,在邏輯卷之上可以建立文件系統。 所以其實DD是一個硬盤分區,然后centos作為邏輯卷是從里面分出來的,所以分區三就是邏輯卷的開始分區 | 10 |
| 4 | 檢材 1 中網站“www.kkzjc.com”對應的 Web?服務對外開放的端口是 () (答案格式: ?“123456” ?純數字)? 首先是 看history溯源 這個是可以推測的,到周圍去找,可以發現32000端口 就是從nginx結構看,先找配置文件 ?看nginx.conf ?感覺配置文件里面沒什么東西,但是有一個include 所以去那個文件夾里面看 ?順利看到端口 | 10 |
| 5 | 檢材?1 所在的服務器共綁定了 () 個對外開放的域名 (答案格式: ?“123” ?純數字) 我前面打開nginx下的配置文件,看到這三個域名,我覺得可以猜測是3個,因為配置文件下就看到這三個,當然,就經驗來看,3個也比較合理。 | 10 |
| 6 | 檢材 1 所在的服務器的原始 IP?地址是 () (答案格式: ?“172. 172.172.172” 半角符號) 這里要糾錯,原始ip不是服務器現有ip,所以這個可能是不對的,我覺得可以從日記或者歷史記錄里面找,比較早的就有可能是原始ip 先看服務器,日記所在 看日記,沒有什么用 然后思考,其實這個服務器網站都是后面三個,所以看網站的配置文件 ?但是無論看什么,這幾個個文件都是沒用 然后這個時候,我們只能看看docker,也算是一個小提示 ?看一下docker ?發現nginx就步在里面 進入容器看一看,典型nginx架構,我直接笑死 ?看配置文件 ?找日記 ?發現看不了,一答案就在里面,因為映射的緣故,無法訪問 ?這里用docker命令 退出docekr 然后docker logs +docker名,順利看到部分文日記 往下手搓,在這里首次鏈接成功,出現了ip 就是192.168.99.222訪問host:192.168.99.3 ?所以最原始,最早的訪問ip是192.168.99.3 | 10 |
| 7 | 嫌疑人曾經遠程登錄過檢材 1 所在的服務器,分析并找出其登錄使用的 IP?地址是 () ?(并使用該地?址解壓檢材 2) (答案格式: ?“172. 172.172.172” 半角符號) 上一題我認為可以解答 ?就說明了訪問ip是192.168.99.222 然后其實檢材2會比較好看,從案件關聯角度,確實嫌疑人是通過2訪問1的 | 10 |
| 8 | 檢材 1 所在的服務器,其主要功能之一為反向代理。找出“www.kkzjc.com”轉發的后臺網站所使用?的 IP?地址是 () ?(并用該 IP?地址解壓檢材 3) (答案格式: ?“172. 172.172.172” 半角符號) 關于正向代理和反向代理這張圖很清楚 服務器的正向代理與反向代理_正向代理服務器_iamteapot的博客-CSDN博客 通過看nginx結構跟明顯是知道了 我們看這個網站的配置文件 ?感覺不對,還是看容器先看配置文件 ?沒有說明有價值信息 看到include,去看看訪問 順利發現地址 ?location 192.168.1.176 | 10 |
| 9 | 嫌疑人曾經從題 7 的 IP?地址,通過 WEB?方式遠程訪問過網站,統計出檢材 1 中該 IP 出現的次數為 ()?(答案格式:“888” 純數字) ip就是192.168.99.222,然后看出現幾次就是看日記,日記在docker里面 去看一下,發現沒法訪問 ?只能在docker外用命令docker logs 容器名看日記 最后找到18個 | 10 |
| 警方找到了嫌疑人使用的個人 PC??(檢材 2.zip) ,請使用第 7 題的答案作為密碼解壓檢材 2 ,分析并回答下列問題: | ||
| 10 | 檢材 2 的原始磁盤 SHA256 值為 () (答案格式:??“abcdefg” 不區分大小寫) | 10 |
| 11 | 檢材 2 所在計算機的 OS???內部版本號是 () (答案格式: ?“12345.7895” 半角符號) | 10 |
| 12 | 檢材 2 所在計算機最后一次正常關機的時間為 () (答案格式: ?“1970- 10-01 10:01:45” ?精確到秒,半角符號) | 10 |
| 13 | 檢材 2 中,VMware?程序的安裝時間為 () (答案格式: ?“2020-01-01 21:35” ?精確到分鐘,半角符號) | 10 |
| 14 | 檢材?2 中,Vmware.exe?程序總計啟動過 () 次 (答案格式: ?“5” 純數字)8次 | 10 |
| 15 | 嫌疑人通過 Web?方式,從檢材 2 訪問檢材 1 所在的服務器上的網站時,連接的目標端口是 ()?(答案格式: ?“12345” 純數字) 80912 這里其實意思是web方式,就是遠程連接這里遠程連接檢材1服務器,目標端口8019很明確 但是服務器地址是192.168.110.3,這題其實是上面那個很難的題目的答案,但是我覺得很難想到,不過三刷之后會溯源分析就簡單的 | 10 |
| 16 | 接?15 題,該端口上運行的進程的程序名稱 (Program?name) 為 () (答案格式: ?“avahi-deamon” 字母和半角符號組合) 這一題我在windows里面看端口(必然),找不到,因為題目的意思應該指的就是服務器端口。 然后去服務器里找端口,發現了8091端口。docker - proker也就是代理服務器 docker proxy是什么-Docker-PHP中文網 也就是一個代理服務 | 10 |
| 17 | 嫌疑人從檢材 2 上訪問該網站時,所使用的域名為 () (答案格式: ?“www.baidu.com” 半角符號) 后面兩個代理登錄時用域名登錄的,基本推斷。 | 10 |
| 18 | 檢材 2 中,嫌疑人所使用的微信 ID?是 () (答案格式: ?“abcde8888” 字母數字組合) 說實話,我一下子也沒有找到,就很奇怪,仿真猜發現windows里面藏著手機備份 手機備份拉倒桌面后(vm tool) 我也搞了好一會 最后在這個路徑下才分析成功 ?但是好像是有個密碼沒有解出來,但是弘連好像可以自己爆搜,就是慢慢破解,然后文件就變多 信息最后還是看得到的 | 10 |
| 19 | 分析檢材 2 ,嫌疑人為推廣其網站,與廣告位供應商溝通時使用的通聯工具的名稱為 ()?(答案格式: ?“Wechat ” 不區分大小寫) teltgram | 10 |
| 20 | 分析檢材 2 ,嫌疑人使用虛擬貨幣與供應商進行交易,該虛擬貨幣的名稱是 () (答案格式:??“bitcoin” 不區分大小寫) 狗狗 聊天記錄里稍微找一下就看得到了,不是很難 | 10 |
| 21 | 上述交易中,對方的收款地址是 () (答案格式: ?“abC1de3fghi” 大小寫字母數字組合) 下面有 DPBEgbwap7VW5HbNdGi9TyKJbqTLWYYkvf | 10 |
| 22 | 上述交易中,嫌疑人和供應商的交易時間是 () (答案格式:??“2020-01-01 21:35:54” 精確到秒,半角符號) 2020-09-20 12:23:37 聊天記錄里找一下就看得到了,好像csdn對狗幣的圖片審核很嚴格,一放上去就審核不過,所以圖片總是丟掉。 一查就好了 | 10 |
| 23 | 上述交易中,嫌疑人支付貨幣的數量為 () (答案格式: ?“8888” 純數字) 數量也要在線查。 4000個 | 10 |
| 24 | 檢材 2?中,嫌疑人使用的虛擬機的虛擬磁盤被加密,其密碼為 () (答案格式: ?“aoeiou”小寫字母) zzzxxx 我試過了直接放到火眼里面沒辦法打開,所以要虛擬機先解碼 然后第二次修訂版,我總要把繞過做出來 的。 我自己寫了 vm虛擬機 加密密碼 破解術(親測可用!)(2.0更新版)_此虛擬機已加密,必須輸入密碼才能繼續_modest —YBW的博客-CSDN博客 首先是看python環境,但是我看虛擬機沒有裝環境,所以就直接拖到本地來做 ?然后發現是這幅樣子 ?爆破進行中,要是爆不出來可以自己加字典 ?我發現解密后雖然仿真可以登錄,但是火眼直接分析還是不行的,就是應該是加密導致火眼無法識別,所以我們還是要來一步解密操作 到虛擬機設置里面,直接移除加密,然后火眼才可以進行相關分析。 ?然后識別出來一個嵌套,直接證據再分析就好, 添加為新的檢材 | 10 |
| 25 | 檢材?2 中,嫌疑人發送給廣告商的郵件中的圖片附件的SHA256 值為 () ; ?(忽略郵件狀態) (答案格式: ?“abcdefg” 小寫字母) 直接算一下把 CC7EA3AB90AB6B28417E08C715C243CE58EA76D71FD141B93F055A58E9BA561A | 10 |
| 26 | 檢材 2 中,嫌疑人給廣告商發送廣告圖片郵件的發送時間是 () ?(忽略郵件狀態) (答案格式: ?“2020-01-01 21:35” ?精確到分鐘,半角符號) | 10 |
| 27 | 檢材?2 中,嫌疑人的郵箱密碼是 () (答案格式: ?“abcde123456” 字母符號數字組合,區分大小寫) | 10 |
| 28 | 檢材 2?中,嫌疑人使用了 () 遠程管理工具,登錄了檢材 1 所在的服務器。 (答案格式:??“abcde” 字母,不區分大小寫) 這個shell實在虛擬機里面的 | 10 |
| 29 | 檢材 2 中,嫌疑人使用上述工具連接服務器時,使用的登錄密碼為 () (答案格式: ?“aBcd#123” 數字符號字母組合,區分大小寫) 顯然 手搓是這樣的 ,我發現xshell的文件結構不是放在program里 然后版本就是7和6都有 | 10 |
| 請使用第 8 題的答案作為密碼解壓檢材 3 ,分析并回答下列問題 | ||
| 30 | 檢材 3 的原始磁盤 SHA256 值為 ()+ (答案格式:??“abcdefg” 不區分大小寫) 這里先不著急做題 ?轉發后臺網站ip做出來是192.168.1.176 這個就剛好對應了 所以可以知道這個iss服務器就是轉發的網站服務器 | 10 |
| 31 | 檢材 3 所在的計算機的操作系統版本是 (000000000000000000000000000000000000000000000000000000) A.?Windows?Server?2012 B. Windows?Server?2008 R2 C.?Windows?Server?2008 HPC?Edition D. Windows?Server?2019?LTSB | 10 |
| 32 | 檢材 3 中,部署的網站名稱是 () (答案格式: ?“abcdefg” 小寫字母) 這里從架構來說,典型的就是第一種windows架構 windows sever iis里面打開網站就有,這個是常規,主要靠iis 可視化界面看到網站 為了網絡連接,修改本地虛擬網絡適配 把他改成1網段 這里看到歷史,有很多代理登錄 我也試過,連接192.168.1.176但是不行,我去探究一下 就是網站訪問是不行的,直接訪問網站不行,只能通過代理登錄 連接代理服務器 http://localhost/dl 無論是通過localhost還是ip都是可以訪問 ?但是還是不能訪問網站 | 10 |
| 33 | 檢材 3 中,部署的網站對應的網站根目錄是 () (答案格式: ?“d?:\path1\path2\path3” 絕對路徑,半角符號,不區分大小寫) 其實面板里有提示的 點一下右邊的基本設置,就是這個物理路徑,沒什么好說的,iis就是這樣的 | 10 |
| 34 | 檢材 3 中,部署的網站綁定的端口是 () (答案格式: ?“12345” 純數字) 80 其實這個也很好看,沒什么技術含量 | 10 |
| 35 | 檢材?3 中,具備登陸功能的代碼頁,對應的文件名為 () (答案格式: ?“index.html?” 字母符號組合,不區分大小寫) 這里我要解釋一下iis,iis的根目錄其實很好看,就是點一下基本設置,然后打開后網站的根目錄,看到這么多,其實網站目錄就是web,提示很明顯。 然后點進去查看,但是我發現虛擬機里面不是很方便,所以我選擇拖到桌面上查看 配置文件就是web.config 先分析網站配置內容 前面寫的都是重定向,不同的網址定位到不同地方 后面是跳轉規則與網站 然后就是分析跳轉了,理論上是一個一個實驗過去 gl是登錄界面 ?dl也是有回顯 這個都是,所以我們開始手搓源代碼 這個是代理的 ?這個是用戶的 ?其實按道理說,我覺得這個都是可以的,一個是前段,一個是后端 所以這題我和官方的答案不一樣 但是從比賽角度而言,看歷史記錄更加準確,出題人的意思是叫我找網站的代理登錄 | 10 |
| 36 | 檢材 3 中,請對網站代碼進行分析,網站登錄過程中,代碼中對輸入的明文密碼作了追加 () 字符?串處理 (答案格式:??“a1b2c3d4” 區分大小寫) 接上題,找登錄文件,上題的文件招進去。 0v0這個 一行講的就是登錄怎么流程 | 10 |
| 37 | 檢材?3 中,請對網站代碼進行分析,網站登錄過程中,代碼中調用的動態擴展庫文件的完整名稱為?() (答案格式: ?“abc.html.ABC” 區分大小寫,半角符號,包含擴展名) 登錄文件的首行,就是這個文件的地址,前面是引用,最后是運行的結構。 dnspy反編譯工具,把dll文件提取出來反編譯找答案。 <%@ page language="C#" autoeventwireup="true" inherits="dr_login_dllogin, App_Web_dllogin.aspx.7d7c2f33" %> 所以說真正的dll文件是后面這個,前面那個是地址是dll文件里的關鍵地址,考試的時候如果直接提交后面這個也是錯,要加上dll動態擴展名。 為了保險起見,就去bin目錄下給她找出來 | 10 |
| 38 | 檢材 3 中,網站登錄過程中,后臺接收到明文密碼后進行加密處理,首先使用的算法是 Encryption?中?的?() 函數 (答案格式: ?“Bcrypt ” 區分大小寫) 前面找到了動態擴展庫,我發現所有編輯器都打不開dll,之后真的只有dnspy可以打開, 然后我就把這個文件打開了 ?然后視圖,找到這個dll是文件地址,然后點擊進入,找到關于登錄的相關界面,看到這里是有 AES和MD5兩種加密方式,但是主要還是AESEncrypt | 10 |
| 39 | 檢材 3 中,分析該網站連接的數據庫地址為 () 并使用該地址解壓檢材 4 (答案格式: ?“172. 172.172.172” 半角符號)192.168.1.174 說實話,這題腦洞大的離譜,我就按照官方解給大家仔細演示一下 第一步就是跳轉AES文件,找到函數,就是雙擊 然后AES里面我成功找到了AESdecrypt 也就是解密 我嗎在關于數據庫的DBManager里面找到了 關于數據庫的解密碼,簡而言之就是這樣解密,其實到這里,很多人會去AES網站覺得試一下,因為鑰匙什么都有了,為啥不試試看,但是無奈,因為還有一個MD5,我覺得還有base64的痕跡,所以很麻煩,這里官方解法很騷,就是利用這個環境試試。 可以看到這個是用來DBManger這個dll,所以讓他先在本地運行起來,然后做一遍本地解密過程 | 10 |
| 40 | 檢材?3 中,網站連接數據庫使用的密碼為 () (答案格式:??“Abc123!@#” 字母數字符號組合,區分大小寫) 經過我的努力,發現一定要powershell才可以運行,cmd不行,建議網上下載,然后用的時候在路徑輸入powershell 下圖我就成功添加了路徑 然后聽我細細解說 先是把代碼行復制,然后把前面的Encryption英文[]括號起來,前面加上DBManager,做完了以后再括號后面加兩個引號,就可以解密了,這個建議多嘗試幾次,確實很艱難 | 10 |
| 41 | 檢材 3 中,網站連接數據庫服務器的端口是 () (答案格式: ?“12345” 純數字) 看上題1433 | 10 |
| 請使用第 39 題的答案作為密碼解壓檢材 4 ,分析并回答下列問題 | ||
| 42 | 檢材 4 的原始磁盤 SHA256 值為 () (答案格式:??“abcdefg” 不區分大小寫) | 10 |
| 43 | 重構該網站,分析嫌疑用戶的推廣鏈接中參數里包含的 ID?是 () (答案格式: ?“a1b2c3d4” 字母數字組合,小寫) 我客觀的說,這是我史上見過最原始的虛擬機 ?由于這個虛擬機很原始,xshell一般不是很好 既然用不了,那就裝net-tool命令,稍微安裝一下 在VMware15中配置CentOS 7,yum install -y net-tools vim 安裝net-tool無法成功和無法ping通www.baidu.com問題_入門~猿的博客-CSDN博客_通過yum安裝net—tools報錯r 我在復盤的時候顯示要換源,反正就很煩很煩了,那樣我們只能繼續操作下去 那么就從history開始手搓 ?發現很煩,還有docker,關鍵是xshell都連不上,就很煩 先看一看網卡 ?網卡信息如圖 ?沒有網卡信息很簡單,因為沒有開機自啟 onboot改為yes 然后重啟網路就看得到 ?這個時候可以鏈接sxhell 但是我發現一個規律,在遠程鏈接數據庫的時候,如果設置dhcp 那么數據庫里面所有配置文件都要修改,因為原來網站配置文件 所以這種時候,就是固定ip為原來的數據庫ip,然后配置虛擬機網絡 修改玩固定192.168.1.174ip之后發現ping不通 ?因為看history,有很多docker 所以看一下docker ?啟動一下 ?解釋一下。ms sql其實是selserver的軟件,所以數據庫在docker里面 陷入僵局:題目是20年,所以不需要換源,現在源已經壞了,需要換源,所以這題就要從新配置,把新的源換好,完成一系列安裝,才能進一步操作 但是我遇到了問題,就是在換源之后,不僅無法看端口,而且解密也很難,理論是我們是想在上一個模塊看到數據庫的用戶名和密碼,然后在這一個模塊把數據庫啟動起來 就是這個網站的數據庫是沒有的 但是在檢材4數據庫源有問題的情況下,我覺得是很難在虛擬機里面直接操作換源的,難度非常大,所以還是放棄了。 | 10 |
| 44 | 重構該網站,該網站后臺的代理用戶數量為 () (答案格式: ?“12345” 純數字) | 10 |
| 45 | 重構該網站,該網站注冊用戶中共有過 () 個代理 (包含刪除的數據) (答案格式: ?“12345” 純數字) | 10 |
| 46 | 重構該網站,對補發記錄進行統計,統計 2019 年 10 月 1 ?日后補發成功的金額總值 ()?(答案格式: ?“123456” 純數字) | 10 |
| 47 | 檢材 4?中,對“TX_IpLog”表進行分析,所有在“武漢市”登錄的次數為 () (答案格式: ?“” 純數字) | 10 |
| 48 | 重構該網站,該嫌疑人下屬代理“ liyun10”賬戶下的余額有 () 元 (答案格式: ?“123456” 純數字) | 10 |
| 49 | 接上一題,該用戶的推廣 ID?是 () (答案格式: ?“a1b2c3d4” 字母數字組合,小寫) | 10 |
| 50 | 接上一題,該代理商戶的最后一次登陸時間是 () (答案格式:??“2020-01-01 21:35” ?精確到秒,半角符號) | 10 |
后面題目實在太難,大二小白寫不下去了,弘連真的不是一般人可以挑戰的,下限就足夠高。
第三次總結:現在對簡單的數據庫模塊已經有了一定經驗,但是針對困難的AES加解密部分表現不好,然后最后檢材4,手動還原,其實可以使用外部u盤掛載的方法,雖然很困難,但是我也在探索,手搓之路剛剛開始,我會大三暑假或者大三上第四次做題,目標就是把網站最終重構出來,吧檢材4數據庫這一塊解決。
這個學期提升web水平與服務器取證,先沉淀吧,不著急綻放。
總結
以上是生活随笔為你收集整理的2020第二届长安杯电子数据竞赛试题(二次修改版),本人亲解,尽量做到细致仔细,镜像百度网盘奉上,建议大家联系一下,弘连题目还是很好的(强烈推荐)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 智能网联汽车——深度学习与无人驾驶(一)
- 下一篇: Angular4与PrimeNG