2024盘古石服务器取证

2024盘古石服务器取证

WL Lv2
  2025-03-17 18:11:10 2025-03-17 18:11:10 Created   2025-04-15 01:34:39 2025-04-15 01:34:39 Updated    

本章简单复盘一下2024年盘古石电子取证比赛中的服务器部分的题目

1.分析内部IM服务器检材,在搭建的内部即时通讯平台中,客户端与服务器的通讯端口是:[答案格式:8888]

计算机仿真进入IM服务器,linux系统下输入netstat -antp 查看端口开放情况,发现存在docker容器,通信端口为8065.

1
netstat -antp

Test

2.分析内部IM服务器检材,该内部IM平台使用的数据库版本是

第一题中发现docker容器,不妨看看里面配置着什么,docker ps -a 显示所有容器

Test

随后docker inspect 643626ab3d8b查看容器详细信息,上划发现数据库为PostgreSQL,对应版本号为12.18-1

1
docker ps -a
1
docker inspect name

Test

3.分析内部IM服务器检材,该内部IM平台中数据库的名称是:

接上题,发现Postgres_DB为mattermost_test

4.分析内部IM服务器检材,该内部IM平台中当前数据库一共有多少张表

这里我们用navicat连接一下数据库,先ifconfig查看服务器ip地址,发现为192.168.179.11,同时也可以在上题看到数据库的ip地址为172.17.0.2,以及发现数据库的用户名和密码

Test

Test

显示连接成功

Test

之后就可以查出public表数为82

Test

5.分析内部IM服务器检材,员工注册的邀请链接中,邀请码是

找到数据库里的user表,找到唯一的用户gxyt,根据密码格式可以看出是Bcrypt加密,这里我们生成一个123456的Bcrypt密码替换掉原先的密码

Test

6.分析内部IM服务器检材,用户yiyan一共给fujiya发送了几个视频文件

Test

同上原理,登录到yiyan的账号 ,看到两个视频

7.分析内部IM服务器检材,用户yiyan在团队群组中发送的视频文件的MD5值是:[答案格式:小写][★★★☆☆]

下载解码即可

Test

8.分析内部IM服务器检材,一个团队中允许的最大用户数是:[答案格式:数字][★★★★☆]

登录到gxyt的设置中可以看到

Test

9.分析内部IM服务器检材,黑客是什么时候开始攻击

登录到服务器后台可以看到反复攻击的数据

Test

10分析网站服务器检材,网站搭建使用的服务器管理软件当前版本是否支持32位系统:[答案格式:是/否][★☆☆☆☆]

用户使用的宝塔,经搜索,宝塔并不支持32位系统

Test

Test

修改宝塔密码

1
bt 5

Test

查看默认信息

1
bt 14

登录到宝塔开心版 BTkaixin.com

Test

成功登陆到宝塔页面

Test

11.分析网站服务器检材,数据库备份的频率是一周多少次:[答案格式:1][★★☆☆☆]

1
crontab -l

查看定时任务发现 backup.sh有疑点,查看一下,发现backup.sh就是2828数据库的备份文件,每周更新一次。

Test

12.分析网站服务器检材,数据库备份生成的文件的密码是

cat看一下backup.sh可以找到.

Test

13.分析网站服务器检材,网站前台首页的网站标题是

Test

这里要重构一下网站,指向服务器域名。

之后重新进入网站

Test

查看源代码发现网站标题

14.分析网站服务器检材,受害人第一次成功登录网站的时间是:

首先解密2828数据库备份文件,其中解压命令在backup.sh里有

首先按照所给命令获得一下AES_PASS值

1
echo -n "$DB_NAME" | openssl enc -aes-256-cbc -a -salt -pass pass:mysecretpassword -nosalt

Test

之后导入数据分析软件里,找到受害人

不得不说,火眼的数据库分析确实牛,用其他的软件都不行…

Test

15分析网站服务器检材,前台页面中,港澳数字竞猜游戏中,进入贵宾厅最低点数是:[答案格式:1234]

到处网站源码,直接搜索

Test

注意是贵宾厅不是普通的。

Test

16分析网站服务器检材,受害人在平台一共盈利了多少钱

加起来就是

Test

17分析网站服务器检材,网站根目录下,哪个路径存在漏洞

网站日志中搜索con查找到该木马相关创建过程

Test

看到上面还有个文件tmpugklv.php,而且可以看到下面反复出现/Home/user继续定位到/Home/User/tkpwdpost.html

Test

Test

Test

18分析网站服务器检材,黑客通过哪个文件上传的木马文件

同上,猜测该文件是tkppwd.php文件

19分析网站服务器检材,网站使用的数据库前缀是

Test

20分析网站服务器检材,木马文件的密码是:

发现密码为2335

Test

  • Title: 2024盘古石服务器取证
  • Author: WL
  • Created at : 2025-03-17 18:11:10
  • Updated at : 2025-04-15 01:34:39
  • Link: https://redefine.ohevan.com/2025/03/17/first/
  • License: This work is licensed under CC BY-NC-SA 4.0.
Comments
On this page
2024盘古石服务器取证
  1. 1.分析内部IM服务器检材,在搭建的内部即时通讯平台中,客户端与服务器的通讯端口是:[答案格式:8888]
  2. 2.分析内部IM服务器检材,该内部IM平台使用的数据库版本是
  3. 3.分析内部IM服务器检材,该内部IM平台中数据库的名称是:
  4. 4.分析内部IM服务器检材,该内部IM平台中当前数据库一共有多少张表
  5. 5.分析内部IM服务器检材,员工注册的邀请链接中,邀请码是
  6. 6.分析内部IM服务器检材,用户yiyan一共给fujiya发送了几个视频文件
  7. 7.分析内部IM服务器检材,用户yiyan在团队群组中发送的视频文件的MD5值是:[答案格式:小写][★★★☆☆]
  8. 8.分析内部IM服务器检材,一个团队中允许的最大用户数是:[答案格式:数字][★★★★☆]
  9. 9.分析内部IM服务器检材,黑客是什么时候开始攻击
  10. 10分析网站服务器检材,网站搭建使用的服务器管理软件当前版本是否支持32位系统:[答案格式:是/否][★☆☆☆☆]
  11. 11.分析网站服务器检材,数据库备份的频率是一周多少次:[答案格式:1][★★☆☆☆]
  12. 12.分析网站服务器检材,数据库备份生成的文件的密码是
  13. 13.分析网站服务器检材,网站前台首页的网站标题是
  15. 14.分析网站服务器检材,受害人第一次成功登录网站的时间是:
  16. 15分析网站服务器检材,前台页面中,港澳数字竞猜游戏中,进入贵宾厅最低点数是:[答案格式:1234]
  17. 16分析网站服务器检材,受害人在平台一共盈利了多少钱
  18. 17分析网站服务器检材,网站根目录下,哪个路径存在漏洞
  19. 18分析网站服务器检材,黑客通过哪个文件上传的木马文件
  20. 19分析网站服务器检材,网站使用的数据库前缀是
  21. 20分析网站服务器检材,木马文件的密码是: