1.查询嫌疑人用户名“liumosheng”于9月15日登录涉案贷款网站服务器的IP为?

last读取/var/log/wtmp的文件,并把该文件的内容记录的登入系统的用户名单全部显示出来。

然后再进行一个过滤。

113.119.27.244

image-20220805195709766

方法2:

image-20220806091718798

2.查询服务器用户名“wangwu”的登录密码为【标准格式:123456】

123456 更正: root

原因:在做的过程中,使用仿真软件启动时,自动重置所有密码为123456

按照原始的办法,只需要进入emergency mode模式进行修改即可

做法:

1.启动虚拟机进入编辑模式,找到linux16这一行,将lang编码后面的全部删掉,加上rd.break

在最开始使用仿真软件的时候,就设置不重置密码

image-20220807131405438

image-20220807131603514

2.Ctrl+x直接启动进入switchroot界面,重新挂载根目录mount -o remount ,rw /sysroot,然后进入shellchroot /sysroot,接下来就可以正常使用命令了,更改原先的密码之前先将shadow备份一下,以免要用到

image-20220807132005491

3.更改root密码

image-20220807132043373

4.重启

image-20220807132250418

5.用的kali自带的john

image-20220806092657806

3.分析涉案服务器,该服务器系统Centos的版本为【标准格式:7.5.1804】

7.6.1810

image-20220805202024907

4.分析涉案网站服务器宝塔面板的默认登录密码为【标准格式:ab12c456】

db25e059

运行bt default就能直接看到默认的账号密码

image-20220805202112501

5.分析涉案网站服务器宝塔面板的绑定宝塔手机账号前三位为【标准格式:139】

159

image-20220805202216967

6.分析宝塔配置数据库,查询宝塔面板默认用户的加密盐值salt为【标准格式:abNf4iLiutU8】(不会)

7PvBHNe3W6Ue

解析:

最开始看到这题的时候,我也不知道加密盐值是放在哪的,然后就到处翻翻找找,后来突然反映过来,既然都说了,分析宝塔配置数据库,直接去数据库找就好了,/www/server/panel/data/default.db文件是宝塔的数据库配置文件,将数据库文件下载下来,进行导入navicat,再进行查看就能看到。

1.在宝塔中找到数据库文件

image-20220806182726753

2.下载数据库文件并导入navicat

image-20220806182949455

image-20220806183020355

image-20220806183057826

3.查看数据库列表

image-20220806183158963

7.分析宝塔管理界面,查询网站服务器数据库root账户的密码为【标准格式:abc654321】

asd123456

由上一题已经可以看出来了

8.查询涉案网站服务器中搭建贷款网站所使用的PHP版本为【标准格式:5.4】

5.6

在宝塔面板的软件商店就可以直接找到

image-20220805205035657

9.分析涉案网站服务器中的PHP配置文件,查看运维人员是否有禁用“exec”该高危函数模块来保证网站的安全运行

配置文件是php/5.6/php.ini,主要是用来设置php可以使用的功能配置参数页

image-20220805205647527

方法2:

image-20220805205844149

10.分析涉案贷款网站的数据库配置文件名称为【标准格式:abc.txt】

/etc/my.cnf

这题最开始我也没懂,就去找了各个目录,最后发现数据库驱动文件在下图这个位置

image-20220807130105769

但要找的是数据库配置文件,想起来宝塔的数据库配置文件有固定的地方

image-20220807125905166

11.根据嫌疑人口供,嫌疑人存在清理受害人数据的行为且服务器存在数据库备份的计划任务,分析备份日志和文件,查询该服务器第一次备份数据库的时间为?

20210913

这道题纯属是靠翻文件

image-20220807130354864

image-20220805211130120

12.据嫌疑人口供,贷款网站后台密码为admin123,登录涉案贷款网站后台,在系统设置的银行卡收款设置中,记录收款银行的银行卡账号为【标准格式:6220111111111111111】

6228480644786811329

思路很明显就是:进入后台,那首先就是将网站搭建起来

1.查看宝塔的网站

image-20220807132535241

为了方便,我填了一个IP加端口

image-20220807132625864

对网站进行访问,报错

image-20220807132732171

然后就是排查问题:

1.防火墙没关

image-20220807132827024

再访问,还是报错

2.数据库没加

image-20220807132906385

选择从服务器中获得数据库

image-20220807132929118

没有

想起来每隔一段时间他会备份数据库,因此直接在宝塔里进行添加

但在添加前,还得去看看网站文件中,关于数据库配置文件是如何写的,不然后期还得修改

image-20220807133343569

修改后

image-20220807133521656

导入数据库

image-20220807133601701

再看,发现还是不能访问

3.马上反应过来看看nginx启动没

image-20220807133847322

启动报错

image-20220807133905572

因此去把I映射的IP删掉

image-20220807133948665

再访问,就可以了

image-20220807134031544

查看后台

http://192.168.60.129:1234/admin.php

去数据库看他的账号密码,这里去看,主要还是怕题目有诈,万一嫌疑人不说真话呢,是不

image-20220807134153788

拿去SOMD5

image-20220807134230898

然后又遇到挫折,我真的累了

image-20220807134300190

那就改呗,还能咋办

image-20220807134454381

登陆成功

image-20220807134507737

答案:

image-20220805215743390

给我整累了,题目问的什么,银行卡账号

image-20220807134727326

13.登录涉案贷款网站后台,查询名为“admin”的管理员账号添加时间为?

2016-12-15 21:10:39

image-20220805215806327

14.查询涉案贷款网站前台客服选项卡中,联系客服跳转指向的客服聊天QQ号为【标准格式:123456789】

524651939

image-20220805215943909

15.在涉案数据库中寻找受害人数据,查询受害人在填写用户资料中的现居住地址为【标准格式:广东省佛山市海棠街001号】

哪个受害人?

很多受害人

image-20220807135221183

16.分析涉案贷款“当前”数据库,查询受害人表中利用“工商银行”卡进行收款的数量【标准格式:1】

6

image-20220805220538902

方法二:

sql语句查询

image-20220807135807087

17.分析涉案贷款“当前”数据库,查询受害人表中已婚人群申请贷款的总金额数为【标准格式:100000】

userinfo里面有两个字段,hunfouqiwangedu,hunfou的1表示已婚

select sum(qiwangedu) from userinfo where hunfou=1;

image-20220807140220156

18.分析涉案贷款网站源码,寻找控制网站后台登录功能的模块源码文件【格式:HelloAciton.class.php】

IndexAction.class.php

这道题也是存靠翻和对cms的结构

image-20220805221028316

19.根据嫌疑人口供,该涉案服务器还存在一个分发网站平台,利用任意方法进入分发网站后台,获取后台全局选项卡中邮件服务的E-mail密码为【标准格式:abcdefghabcdefgh】

azlslgijqihscaif

照例添加端口,再访问

image-20220807140715833

image-20220807140911576

数据库获得账号密码

image-20220807140927381

image-20220807140856260

直接进入后台

image-20220807141003086

image-20220807141105081

小插曲:

20.分析分发网站后台,下载名为“HKEX”的APK文件,并计算器MD5值【标准格式:e10adc3949ba59abbe56e057f20f883e】

ea2dbbb74d026e7271d2465da304d4d3

image-20220807141327956

二维码是不可能扫的,而且万一比赛没网呢

image-20220807141303423

去文件夹里面搜就是了

image-20220806073604506

21.分析分发平台网站和数据库,结合后台信息分析名为“放心借”的APP发布者会员账号为【标准格式:123456@qq.com】

501248234@qq.com

image-20220807141428481

22.分析涉案贷款网站数据库服务器,找出Mysql服务的docker Image ID为【标准格式:abcdef123456】

1d7aba917169

image-20220806074024242

23.分析涉案贷款网站数据库服务器数据库,pgsql数据库服务的端口为【标准格式:3306】

5432

都问了pgsql了,肯定找pgsql的配置文件,再则,”涉案贷款网站数据库服务器数据库”,很明显就是指的另一个虚拟机,毕竟目前为止还没用到

翻翻找找

image-20220807142238925

24.据嫌疑人口供,数据库服务器还存在一个以pgsql数据库为基础开发的网站,分析服务器,寻找pgsql数据库用户名root的密码【标准格式:abc1234】

jkl1314

image-20220806074241756

25.尝试登录23题中提到的网站后台,在登录成功后的页面查找嫌疑人邮箱信息【标准格式:11111111111@163.com

暂时没做出来,但是可以从数据库找到答案

从manager.py里回溯回去,可以看到是firstapp里面的,然后去数据库里面找的话,

image-20220807160224820

但其实还有另一个admin,

image-20220807160121441

尝试搭建,没成功:

根目录下边这个就很可疑,先运行再说

image-20220807142356747

python3 ./manage.py

image-20220807142458067

就看这个不对劲,这题其实没有什么逻辑,真的就是做多了就知道了

实在不行,就挨个运行一遍呗

python3 ./manage.py runserver

image-20220807142602753

无法访问,同之前的逻辑一样,估计是防火墙搞的鬼,但猜错了

image-20220807142811125

然后注意到文件下下边有个数据库文件,猜测是不是数据库文件没添加

image-20220807143149719

数据库报错,可以看到就是/tmp下边的文件在搞鬼,删除就好了

image-20220807150145409