2022DIDCTF新生赛-服务器分析题型复现
检材:https://pan.baidu.com/s/13QjiEyJ7VWgQZ6sjElNeQA?pwd=f8rl
使用火眼进行仿真
开始做题时要对网络服务进行配置,同一网段、NAT模式…
具体可以参考这篇 网络服务配置
1、root用户最初使用192.168.197.1登录系统的时间?
要知道系统登录时间,最直接的就是看日志的信息
方法一:
前提是要登录进root管理员用户,这里可以直接进行root绕过密码。
具体步骤可以看这篇 Linux取证技术
然后就可以查看日志信息
cd /var/log
cat secure
#也可以直接筛选192.168.197.1
cat secure | grep 192.168.197.1
登出
方法二:用火眼对检材进行取证
看日志/var/log/secure
其他系统的日志所在位置可能在/var/log/auth.log
也可以在分析中查看
2020-8-31 10:19:20 ~ 2020-8-31 12:59:35
可能会有一两秒的差别
2020-08-31 10:19:20
2、记录服务器根目录文件系统格式
df -T /
火眼:
可能要用大写
XFS
3、记录ssh远程登录端口
netstat -lnpt | grep sshd
13434
4、查看并记录管理面板的安全入口8位字符
bt 14
68c6da24
5、数据库用户名为fafafa的密码为
也可以登入到宝塔面板进行查看
pMP3zhGXyBXf6wBd
6、服务器存在一个分发网站,它是由什么网站框架搭建的
netstat -lnpt
nginx
7、请列出系统中部署的网站路径
/www/wwwroot/fafafa.online
8、记录服务器分发网站域名
fafafa.online
9、访问分发网站,并选择网站首页的背景颜色为:
绿色蓝色红色粉色黑色黄色
直接使用域名不能访问
查看Nginx服务的端口
IP:[端口]
可以访问到网站
黄色
10、目前网站共注册_用户人数以及用户共上传___个APP
查看数据库
点击可能会响应404,原因是没有安装phpMyAdmin,进入软件商店进行安装
只有4.4的版本才可以,因为php版本是5.6,对应的是phpMyAdmin的4.4,安装后就可以查看数据库了
注册多少个用户看preix_user表,有5个
上传APP个数看prefix_app表,有4个
5 4
11、若上传一非法文件至分发网站,网站默认会把文件存放在什么位置
登录网站
c33367701511b4f6020ec61ded352059用MD5解码得密码为:654321
账号/密码:6666@qq.com/654321
先是查看apk的文件位置和现在的数量
find / -iname "*.apk" -type f
然后创建一个apk文件进行上传
可以看到在/www/wwwroot/fafafa.online/data/tmp/下多了文件
/www/wwwroot/fafafa.online/data/tmp/
12、嫌疑人可能利用什么软件(脚本、程序)对后台数据库数据进行了备份,其名称是什么
既然的对后台数据库进行备份,那这个任务一定是定时进行的,查询定时任务的脚本信息
crontab -l
接着就分析这两个脚本
/bin/bash
backup *cp mysql
#复制一个名为“mysql”的文件或目录
#!/bin/bash
mysqldump fafafa > "/home/backup/fafafa_$(date +%Y%m%d_%H%M%S).sql"
#使用“mysqldump”命令备份一个名为“fafafa”的数据库表
这样看来是对后台数据库进行备份的脚本是backupdb.sh
在火眼也可以看到定时任务
backupdb.sh
13、服务器中存在远程控制软件,软件名称是___及其版本号是_ (使用 - 连接)
登入Centos系统就可以看到有一个开机自启动软件``
teamviewer --version
teamviewer 12.0.258841
14、服务器目前安装的容器版本是__使用的容器ID为__ (使用 - 连接)
版本
docker -v
要是docker关闭了,要开启
service docker start
查看状态
systemctl status docker
容器ID
docker ps -a
1.13.1 1fc110c6b336
15、提取fafafa.txt文件,前内容前6字符为
利用文件名进行搜索,需要注意的是上面的文件名并不全,只是包含这些字符
# 在当前目录及其子目录下查找文件名中包含"fafafa.txt"的文件,包括隐藏文件
find . -name "*fafafa.txt*"
找到其路径,接着就是查看内容
adbcef
16、服务器使用的容器映射出来的端口号为
启动1f容器(就是14题得到的容器ID)
docker start 1f
接着进行查看
docker ps
或者是用
netstat -lnpt
3310