帮助文档
专业提供香港服务器、香港云服务器、香港高防服务器租用、香港云主机、台湾服务器、美国服务器、美国云服务器vps租用、韩国高防服务器租用、新加坡服务器、日本服务器租用 一站式全球网络解决方案提供商!专业运营维护IDC数据中心,提供高质量的服务器托管,服务器机房租用,服务器机柜租用,IDC机房机柜租用等服务,稳定、安全、高性能的云端计算服务,实时满足您的多样性业务需求。 香港大带宽稳定可靠,高级工程师提供基于服务器硬件、操作系统、网络、应用环境、安全的免费技术支持。
服务器资讯 / 香港服务器租用 / 香港VPS租用 / 香港云服务器 / 美国服务器租用 / 台湾服务器租用 / 日本服务器租用 / 官方公告 / 帮助文档
简单的服务器取证
发布时间:2024-03-10 08:46:49   分类:帮助文档
简单的服务器取证




一次简单的服务器取证入门 检材:https://pan.baidu.com/s/1T_OBlqe–7C-sfYhYyMZjQ?pwd=8e19


目录
1、系统的内核版本2、系统的历史命令第32条3、SSH服务的开放端口4、宝塔面板的用户名5、宝塔面板的端口号6、面板上的网站域名7、面板是否开启了SSL服务8、面板别名是什么9、系统所使用的web服务是什么10、网站所用的mysql服务版本(x、x、xx)11、网站数据库名称12、接上问,数据库root密码是什么13、网站管理员账号用户名14、网站默认端口15、登录网站的密码加密盐值是否固定,若固定,请给出盐值16、网站帖子总数为多少17、网站总共有多少注册用户18、管理员性别19、该网站共投资多少元20、网站中有一名为“坐标江西”的书签,请给出其创建时间





1、系统的内核版本



3.10.0-693.el7.x86_64


2、系统的历史命令第32条



rm WhatsNew.txt


3、SSH服务的开放端口

对镜像进行仿真

使用火眼来仿真,系统默认的网络接口配置文件是BOOTPROTO=static,也就是静态IP地址。
做题的时候要改为dhcp,这题的网络接口配置文件在 /etc/sysconfig/network-scripts/ifcfg-ens33,一般也是在/etc/sysconfig/network-scripts目录下 ; 虚拟机的网络适配器是仅主机模式下 成功变成动态的IP
或者在VM的 编辑 --> 虚拟网络编辑器 --> 都改成110的同网段 ;虚拟机 --> 设置 --> 网络适配器 --> NAT模式 ;改为dhcp 下图就是BOOTPROTO=static,静态IP 使用美亚的仿真,系统默认的网络接口配置文件是BOOTPROTO=dhcp,就不用进行更改了
netstat -lnpt


端口也知道了,就可以进行ssh连接

2222


4、宝塔面板的用户名



root


5、宝塔面板的端口号

上图

8888


6、面板上的网站域名



ypzxw.local


7、面板是否开启了SSL服务

这里进行宝塔的登录,只知道用户名是root,不知道密码,加上宝塔的版本是旧版本,使用以下的命令进行改密码,改为123456
cd /www/server/panel && python tools.py panel 123456

进入宝塔面板,在网站中能找到SSL服务




8、面板别名是什么



控制面板


9、系统所使用的web服务是什么

netstat -lnpt


nginx


10、网站所用的mysql服务版本(x、x、xx)



5.6.37


11、网站数据库名称



ypzxw


12、接上问,数据库root密码是什么

在终端中修改数据库root密码的命令
cd /www/server/panel && python tools.py root 123456


b86551ee7ffc7eb5


13、网站管理员账号用户名



admin


14、网站默认端口



80


15、登录网站的密码加密盐值是否固定,若固定,请给出盐值

Tip:加密盐值
MD5('密码' + 'salt(盐值)' )= '密文'

也有可能是SHA加密的方式
要做这题就要分析源代码了
结合题目使用了加盐的方式,得知关键词salt
用火眼的全局搜索

知道了关于这个代码的文件/www/wwwroot/includes/functions.inc.php
对加密方式进行分析
/
* generates password hash
*
* @param string $pw
* @return string
*/
function generate_pw_hash($pw)
{
$salt = random_string(10,'0123456789abcdef');
$salted_hash = sha1($pw.$salt);
$hash_with_salt = $salted_hash.$salt;
return $hash_with_salt;
}

盐值是从0123456789abcdef中随机抽取10个,所以加密盐值是不固定的

不固定


16、网站帖子总数为多少


登录后台进行确认
首先要设置hosts文件,路径:C:\Windows\System32\drivers\etc, 在最后加上一行
[IP] [域名]


这里的后台页面不是要找到某一个目录,用扫描软件是行不通的,要直接登录管理员账号;
从第15题里分析的那段加密代码下面就是验证密码的方式了,验证密码的方式是哈希值的比对
/
* checks password comparing it with the hash
*
* @param string $pw
* @param string $hash
* @return bool
*/
function is_pw_correct($pw,$hash)
{
if(strlen($hash)==50) // salted sha1 hash with salt
{
$salted_hash = substr($hash,0,40);
$salt = substr($hash,40,10);
if(sha1($pw.$salt)==$salted_hash) return true;
else return false;
}
elseif(strlen($hash)==32) // md5 hash generated in an older version
{
if($hash == md5($pw)) return true;
else return false;
}
else return false;
}

管理员的密码似乎难以破解,这时我们可以直接改源码
这段代码的意思是将输入的密码加密成哈希值然后和后台数据的哈希值进行比对,一样才能成功登录
这里改验证的源码方法有两种:
把true改为false把==改为!=

或者是

接下来就可以随意的输入密码了
查看帖子数和注册用户

34


17、网站总共有多少注册用户


3481


18、管理员性别

看身份证倒数第二位,偶数是女性,奇数是男性

女性


19、该网站共投资多少元

就是要计算表m_userinfo中字段investment的总和
SELECT SUM(investment)
FROM m_userinfo;



接着看后台管理员的网页投资金额是数据库中少了8倍,以后台数据为准,所以139390000 / 8 = 17423750

17423750


20、网站中有一名为“坐标江西”的书签,请给出其创建时间

根据这个得知更加准确的时间



2019-05-15 10:38:32

答案仅作参考,请各位师傅多多指点!




香港云服务器租用推荐
服务器租用资讯
·广东云服务有限公司怎么样
·广东云服务器怎么样
·广东锐讯网络有限公司怎么样
·广东佛山的蜗牛怎么那么大
·广东单位电话主机号怎么填写
·管家婆 花生壳怎么用
·官网域名过期要怎么办
·官网邮箱一般怎么命名
·官网网站被篡改怎么办
服务器租用推荐
·美国服务器租用
·台湾服务器租用
·香港云服务器租用
·香港裸金属服务器
·香港高防服务器租用
·香港服务器租用特价