服务器取证练习1
| 案件 情况 | 在一起盗版侵权视频网站中,办案机关调取了涉案网站的数据,要求对其服务器镜像进行鉴定。 |
|---|---|
| 送检 材料 | 文件“ceshi.E01”为涉案网站服务器磁盘的镜像文件。 |
| 鉴定 要求 | 1. 请计算该检材源盘的SHA256哈希值。(5分) 2. 该服务器的内核版本。(5分) 3. 请找出该服务器中监听端口11211对应的服务是。(5分) 4. 通过嫌疑人操作命令发现其曾经有删除过一个文件是(5分) 5. 请找出服务器中使用何种工具管理网站(5分) 6. 请找出该工具绑定的手机号是(5分) 7. 请找出其管理的网站域名共有多少个。(5分) 8. 请找出服务器曾经删除的一个网站,其域名是(5分) 9. 请找出该服务器docker容器共有多少个(5分) 10.请找出dokcer容器名为zealous_driscoll的容器ID是(5分) 11.请找出该视频网站的网站源码存储路径(5分) 12.请找出该视频服务器网站成功连接日志名(5分) 13.请找出该服务器中视频网站的后台url。(5分) 14.请找出该视频网站所用数据库的端口。(5分) 15.请找出该视频网站数据库“honglian”的密码。(5分) 16.请固定该视频网站中“弘连宣传视频1”中视频文件的MD5值。(5分) 17.该视频网站电子邮箱为(5分) 18.该视频网站用户有多少个(5分) 19.该视频网站后台限制视频上传最大是多少(5分) 20.找出该视频网站登录时密码采用的加密方式(5分) |
1.请计算该检材源盘的SHA256哈希值。(5分)
解题
思路:使用Windows提供命令行进行计算
1 | certuil -hashfile ceshi.E01 SHA256 |
答案
检材源盘的SHA256哈希值为bf3f4e9aa5a4721be72b90286cba43e6ec7b29ca33cd9d1fd00406cf950be725
2. 该服务器的内核版本。(5分)
解题
使用系统仿真软件进行仿真,然后使用xshell进行连接输入以下命令
1 | uname -a |
答案
该服务器的内核版本为:3.10.0-957.el7.x86_64
3. 请找出该服务器中监听端口11211对应的服务是。(5分)
解题
思路:使用linux查看监听端口的命令
1 | sudo netstat -tunlp | grep 11211 |
答案
该服务器中监听端口11211对应的服务是 9091/memcached
4. 通过嫌疑人操作命令发现其曾经有删除过一个文件是(5分)
解题
思路:通过查看linux的历史命令,发现删除的文件
1 | history |
答案
通过嫌疑人操作命令发现其曾经有删除过一个文件是bb10c86df29d83f4c46209dbe23de7e069e5eb9ddf13233d323b880fb5639a36
5. 请找出服务器中使用何种工具管理网站(5分)
解题
思路:通过发现Linux的历史命令发现宝塔的命令,并尝试输入bt查看
答案
服务器中使用工具宝塔管理网站
6. 请找出该工具绑定的手机号是(5分)
解题
思路:使用宝塔的命令,启动网站进行网站的重构
1 | bt 14 |
但是登录提示密码不对,输入以下命令进行修改密码
1 | cd /www/server/panel && btpython tools.py panel testpasswd s8nbhvgh |
将账户为s8nbhvgh的密码重置为testpasswd
进入面板控制发现手机号带星号
接着使用F12大法进行定位
接着在网络里搜索get_user_info可以发现完整手机号
答案
该工具绑定的手机号是18627943382
7,请找出其管理的网站域名共有多少个。(5分)
解题
思路:通过查看宝塔面板的网站发现其管理的网站域名为3个
但是点开设置会发现有一个网站是两个域名
答案
其管理的网站域名共有3个
8.请找出服务器曾经删除的一个网站,其域名是(5分)
解题
思路:通过查看宝塔面板的安全里的面板操作日志
答案
务器曾经删除的一个网站,其域名是fastadmin.com
9.请找出该服务器docker容器共有多少个(5分)
解题
思路:使用linux的命令查看当前有多少个docker容器,包括exited,created状态的(但是这个命令的计算结果需要减去1,因为它统计标题)
1 | docker ps -a |wc -l |
注意:4要减去1,所以是3个docker容器
答案
该服务器docker容器共有3个
10.请找出dokcer容器名为zealous_driscoll的容器ID是(5分)
思路:使用linux命令查看所有容器
1 | docker ps -a |
也可以直接使用以下命令直接过滤容器名为zealous_driscoll的id
1 | docker ps -a | grep zealous_driscoll |
但是这个获取的不全,所以我们使用下面的命令获取容器zealous_driscoll的元数据
1 | docker inspect zealous_driscoll |
答案
dokcer容器名为zealous_driscoll的容器ID是72b3c398c8e54dc34132805acda5937976be39e578ed6bc292e134c192f16629
11.请找出该视频网站的网站源码存储路径(5分)
解题
思路:根目录
答案
12.请找出该视频服务器网站成功连接日志名(5分)
解题
思路:在服务器的www文件夹下存在文件www.app10.com-access_log保存的是网站成功连接日志名
答案
该视频服务器网站成功连接日志名是www.app10.com-access_log
13.请找出该服务器中视频网站的后台url。(5分)
解题
思路:重构网站发现服务器中视频网站的后台url
答案
服务器中视频网站的后台url为:http://www.app10.com/admin-cp/
14.请找出该视频网站所用数据库的端口。(5分)
解题
思路:在docker中启动mysql的docker,输入以下命令启动docker
1 | docker start mysql5.6 |
接着再执行以下命令就可以查看到端口号
1 | docker ps -a |
15.请找出该视频网站数据库“honglian”的密码。(5分)
解题
思路:使用navicat进行ssh连接
接着配置数据库但是需要知道数据库的密码,我们可以去网站的配置文件config.php里面
成功连接数据库,在名为honglian的数据库下找到user的表进行查看
查看到admin的账户,并看到md5加密的密码
接着使用在线md5解密网站进行解密
答案
该视频网站数据库“honglian”的密码是123456
16.请固定该视频网站中“弘连宣传视频1”中视频文件的MD5值。(5分)
解题
思路:网站进行重构后发现首页存在弘连宣传视频1
点击视频进入后发现,可以使用IDM进行下载
下载到本地,使用命令或者软件计算md5的值
cmd中输入以下命令
1 | certutil -hashfile 文件路径 MD5 |
答案
固定该视频网站中“弘连宣传视频1”中视频文件的MD5值为:4758a0b9a9c0ca4f62aed610943052b5
17.该视频网站电子邮箱为(5分)
解题
思路:这个在网站重构后,或者数据库中查看admin的邮箱都可以看到
答案
该视频网站电子邮箱为18581281315@163.com
18.该视频网站用户有多少个(5分)
解题
思路:重构网站后,查看后台管理里的用户管理,或者查看数据库中的users表都可以发现
答案
该视频网站用户有5个
19.该视频网站后台限制视频上传最大是多少(5分)
解题
思路:划重点题目说的是网站后台,所以在网站后台里进行查找发现网站管理有
答案
该视频网站后台限制视频上传最大是10G
20.找出该视频网站登录时密码采用的加密方式(5分)
解题
思路:在前面解密登录密码时,发现为sha1加密(这个想法可以)
答案
该视频网站登录时密码采用的加密方式为**sha1**加密
