案情介绍

​ 2021年7月12日,上午8点左右,警方接到被害人张某(张有财)报案,声称自己被敲诈数万元;经询问,张某被嫌疑人诱导裸聊,下载了某“裸聊”软件,导致自己的通讯录和裸聊视频被嫌疑人获取,对其进行敲诈,最终张某不堪重负,选择了报警;警方从张某提供的本人手机中(手机号为18805533089),定向采集到了该“裸聊”软件,通个裸聊APK软件的分析,警方找到了后台服务器地址,并调取了服务器镜像(web.E01),请各位取证工作者回答下列问题:

1.检材web.E01的操作系统版本是

解题

思路:

方法一:

使用仿真软件进行仿真后发现这是centos服务器,使用以下命令可以发现这个检材的操作系统的版本

1
cat /etc/centos-release

image-20230425092053149

方法二:

使用盘古石计算机取证软件进行检测

image-20230425092631826

答案

​ 检材web.E01的操作系统版本是CentOS Linux release 7.9.2009

2.检材web.E01中,操作系统的内核版本是

解题

     **思路:**

方法一:

使用仿真软件进行仿真,输入以下命令查看操作系统的内核版本

1
uname -r

image-20230425093026007

方法二:

使用盘古石计算机取证软件进行检测操作系统的内核版本

image-20230425092832386

答案

​ 操作系统的内核版本是3.10.0-1160.31.1.el7.x86_64

3. 检材web.E01服务器中,最后一条操作命令为:

解题

思路:使用linux命令进行查看,除去我自己输入的命令,最后一个是下图中的

1
history

image-20230425093503257

答案

​ 检材web.E01服务器中,最后一条操作命令为shutdown now

4. 检材web.E01服务器中,远程连接服务所使用的端口号为:

解题

思路:进行仿真之后使用linux的命令可以查看远程连接服务所使用的端口号

1
netstat -tunlp | grep ssh

image-20230425094053181

答案

​ 检材web.E01服务器中,远程连接服务所使用的端口号为:7001

5. 该后台服务器中,在案发前,管理员最后一次登陆服务器的IP地址为(答案格式111.111.111.111)

解题

思路:使用linux的命令last可以查看最近登录ip

1
last

image-20230425141717165

答案

​ 该后台服务器中,在案发前,管理员最后一次登陆服务器的IP地址为:192.168.72.1

6. 检材web.E01中,嫌疑人架设网站使用了何种工具架设了网站

解题

思路:

方法一:

​ 通过查询历史命令,发现宝塔的命令

image-20230425094557701

接着仿真使用宝塔命令验证

image-20230425094652382

方法二:

​ 通过盘古石计算机取证软件进行查看,可以发现嫌疑人使用的宝塔进行搭建的网站

image-20230425094939700

答案

​ 检材web.E01中,嫌疑人架设网站使用了工具宝塔架设了网站

7. 接上一题,请问架设网站的工具的登陆用户名为:

解题

思路:

方法一:

在仿真后,输入宝塔面板的启动命令

1
bt 14

image-20230425095147998

方法二:

使用盘古石计算机取证软件进行分析,也可以发现架设网站的工具的登陆用户名(此处感叹科技改变人类,取证软件太变态辣)

image-20230425095425037

答案

​ 架设网站的工具的登陆用户名为yun9tinp

8. 该后台网站对外提供服务所使用的端口号为:

解题

思路:这个题目我看有的博主是找的宝塔的端口,我也不知道到底是哪个,都找一下吧

网站的端口为:

image-20230425104031778

宝塔面板对外服务的端口是

image-20230425140457747

答案

 该后台网站对外提供服务所使用的端口号为:**80**(我更倾向于网站的这个端口)

9. 该后台网站所使用的域名为(答案格式www.abc.com):

解题

思路:打开宝塔面板的后台,在网站里可以发现该后台网站是使用的域名

image-20230425104045585

答案

​ 该后台网站所使用的域名为 www.honglian7001.com

10.请分析该网站的后台登陆地址的url为:

11.该网站后台所使用的数据库类型为:

解题

思路:

方法一:

在仿真之后查看历史命令发现使用的数据库是mysql

image-20230425142043723

方法二:

查看宝塔面板上的网站文件目录的database.php文件发现是mysql数据库

image-20230425142347125

答案

​ 该网站后台所使用的数据库类型为: mysql

12.该网站所使用的数据库的库名(database名)为

解题

思路:查看宝塔面板上的网站文件目录的database.php文件发现数据库名

image-20230425142512584

答案

​ 该网站所使用的数据库的库名(database名)为www_honglian7001

13.该网站所使用的数据库的root密码为

解题

思路:在宝塔面板里进行查看,或者查看历史命令

image-20230429133222485

输入以下命令查看

1
vi /www/wwwroot/www.honglian7001.com/app/database.php

image-20230429133321402

答案

     该网站所使用的数据库的root密码为 **15dbefa4aae110a5**

14.请计算/www/wwwroot/www.honglian7001.com/app目录下的文件”database.php”的SHA256值

解题

思路:在宝塔面板找到这个路径下的文件进行下载导出,并使用Windows提供的计算SHA256的方法进行计算

image-20230425142835815

1
certutil -hashfile 文件路径 SHA256

image-20230425103912702

答案

​ /www/wwwroot/www.honglian7001.com/app目录下的文件”database.php”的SHA256值为 59ae8de6a241a029ac8a912fea003a5dc179e57c4cfd6ee182e6b43c71f3e9e8

15.已知,该网站后台对于账号的密码采用加盐加密,该salt值为:

解题

思路:在宝塔将网站进行打包成压缩包,接着将压缩包进行导出

image-20230425145902526

image-20230425145918849

接着解压文件,并把文件夹导入VScode(vscode又记一功),在整个文件夹下检索md5,发现重要信息

image-20230425145821758

答案

​ 该网站后台对于账号的密码采用加盐加密,该salt值为:lshi4AsSUrUOwWV

16.在对后台账号的密码加密处理过程中,后台一共计算几次MD5值

解题

​ 通过上题我们可知进行了3次MD5值的计算

答案

​ 在对后台账号的密码加密处理过程中,后台一共计算3次MD5值

17.请问,网站后台的创建时间最早的管理员账号为:

解题

思路:

方法一:数据库操作

连接上数据库,使用以下sql语句进行查询

1
SELECT * FROM app_admin ORDER BY create_time ASC LIMIT 1;

image-20230428162840671

方法二:网站重构

答案

​ 网站后台的创建时间最早的管理员账号为admin

网站重构过程

进入仿真

​ 打开仿真软件进行镜像的仿真,linux的登录账号和密码会是root和123456

image-20230429003304329

虚拟机网卡配置

1.查看虚拟机网卡信息

点击编辑里的虚拟机网络编辑器

image-20230429003637436

查看网卡VMnet8的ip(我是为了省事,直接把网卡改为和镜像的一样的了,这样后面可以直接进phpadmin里面看数据库

image-20230429003659276

2.修改镜像的网卡配置文件

​ 输入以下命令,修改网卡的配置信息

1
vi /etc/sysconfig/network-scripts/ifcfg-ens33

修改之前

image-20230429004011787

修改之后

image-20230429004140133

接着输入命令

1
service network restart

image-20230429004237812

查看ip

1
ifconfig

image-20230429004333919

3.使用xshell进行连接

image-20230429004420072

成功连接

image-20230429004438840

网站重构

宝塔面板相关设置

发现使用宝塔的命令,进行宝塔的相关配置

首先重启宝塔面板的服务,不然连接不上宝塔面板

1
bt 1

image-20230429004754505

接着使用命令修改宝塔面板的密码,之前的密码出错了,需要修改

1
bt 5

image-20230429005002750

使用命令,进入宝塔面板

1
bt 14

image-20230429005308977

进入面板

image-20230429005441372

image-20230429005504934

网站相关配置修改

1.查看网站相关域名

image-20230429005634680

2.将域名指向本地,在本地的hosts文件里进行以下相关配置

image-20230429005852022

3.在宝塔面板里进行以下配置,修改网站文件夹下的database.php文件

修改之前

image-20230429010113730

修改之后

image-20230429010215469

mysql、nginx、防火墙相关配置

mysql相关配置

尝试使用phpadmin连接数据库,发现连接不上

image-20230429010831831

image-20230429010855164

查看历史命令是因为mysql的服务被操作过,要重启服务

image-20230429011001760

执行以下命令

1
2
systemctl restart mysql
systemctl restart mysqld

在宝塔面板发现数据库的账号为root密码为15dbefa4aae110a5

image-20230429011641695

尝试连接mysql

1
mysql -u root -p

image-20230429011740570

nginx相关配置

查看历史命令发现关闭了nginx的服务

执行下面的命令重启nginx服务

1
systemctl restart nginx

image-20230429012912083

防火墙相关配置

查看历史命令发现对防火墙服务进行以下操作,我们也需要执行这个操作才行

image-20230429100753420

让我们看看ai怎么说

image-20230429100713775

接着我们执行下面的命令

1
systemctl stop firewalld

image-20230429101035320

进入网站

后台登录地址

在网站的日志文件里,发现后台登录url

image-20230429083824173

image-20230429084508308

登录

使用http://www.honglian7001.com/admin进行访问,需要找到账号和密码

image-20230429084753417

网站源码获取

找到下面路径进行压缩

image-20230429090844594

将压缩包,下载到本地

image-20230429091010797

寻找登录密码

​ 我们想到数据库中有管理员admin的账号密码,但是这个密码是进行了md5加密的(这个是这个试题中的一个题目中知道,这里不在详述),接着我们是使用VScode进行搜索md5,查询管理员后台登录密码的加密方式,发现进行了3次的md5加密,还进行了加盐加密。

image-20230429091238834

尝试在数据库中寻找账号和密码,使用navicat进行远程连接,用以查看数据库的内容,进行以下设置

image-20230429085231549

image-20230429085438008

找到app_admin表中,发现加密后的密码,这个很难进行解密

image-20230429085647959

方法一:在网站源码里搜索数据库中的密码的md5值

在数据库中发现管理员账号admin对应的密码的md5值为

1
2d17c53d0d682bbb7eac2e76828a4d79

在源码检索这个值

image-20230429095312004

上图在06.log这个日志文件里可知密码被修改为了ABC123456日志文件厉害啊

尝试登录,发现成功登录,成功进入后台

image-20230429095541271

image-20230429095615675

方法二:使用自己设置密码的加密结果替换数据库中的md5值

加密算法

1
2
3
4
function password($password, $password_code='lshi4AsSUrUOwWV')
{
    return md5(md5($password) . md5($password_code));
}

改写为php代码,计算我们自己设置的密码的md5值(别问我为什么会php,用的ai生成的,ai改变世界好吧)

1
2
3
4
5
6
7
8
9
10
11
12
13
<?php

function password($password, $password_code = 'lshi4AsSUrUOwWV')
{
    // 对密码进行两次 MD5 加密,并拼接上密码编码再次进行 MD5 加密
    return md5(md5($password) . md5($password_code));
}

// example usage:
$password = '123456';
$hashed_password = password($password);
echo $hashed_password;
?>

输出结果为

1
9eb2b9ad495a75f80f9cf67ed08bbaae

image-20230429093028441

在数据库中将数据库中的密码的md5值2d17c53d0d682bbb7eac2e76828a4d79替换为9eb2b9ad495a75f80f9cf67ed08bbaae

image-20230429095845144

现在登录密码被我们修改为123456,尝试登录,发现成功登录

image-20230429095940333

18.请综合分析并重构网站,本案中受害者张某的最后登陆IP是多少(答案格式111.111.111.111)

解题

思路:

方法一:数据库操作

​ 这个题,我一开始没重构出来,只能手搓数据库了,案情里说张某的手机号为18805533089,所以在数据库里查询(这题我是看地20题才想起来在哪个表里查询的,只有app_user表里有手机型号,这个一定要使用sql语句进行查询,软件列出来的东西不多)

1
SELECT * FROM app_user WHERE name = '18805533089';

image-20230428170237845

也可以使用以下语句单独把ip字段的值和name字段的值列出来

1
SELECT name, ip FROM app_user WHERE name = '18805533089' AND ip IS NOT NULL;

image-20230428170635102

方法二:网站重构

在网站后台直接在设备查看这里检索案情中给的手机号:18805533089

image-20230429130116983

答案

​ 本案中受害者张某的最后登陆IP是:192.168.1.101

19.请综合分析并重构网站,本案中嫌疑人所掌握的后台共获取了多少设备记录

解题

思路:

方法一:数据库操作

通过查看表app_user可以查看到后台共捕获的设备记录,输入下面的sql语句进行查询

1
SELECT COUNT(clientid) FROM app_user;

image-20230428175959374

方法二:网站重构

在后台的设备查看处,可以直接看到设备数目

image-20230429130457780

答案

​ 本案中嫌疑人所掌握的后台共获取了6003条设备记录

20.请综合分析并重构网站,本案中受害者张某的手机型号在后台记录中显示为

解题

思路:

方法一:数据库操作

使用sql语句进行查询

1
SELECT name, ip, clientid FROM app_user WHERE name = '18805533089' AND ip IS NOT NULL AND clientid IS NOT NULL;

image-20230428171001574

方法二:网站重构

在网站的后台直接搜索张某的手机号,就能看到设备的型号

image-20230429130747233

答案

​ 本案中受害者张某的手机型号在后台记录中显示为:HONOR-NTH-AN00

21.请综合分析并重构网站,本案中受害者张某的手机通讯录中,名为“许总”的电话号码为(不需要填写空格,答案格式:18811112222)

解题

思路:

方法一:数据库

1
SELECT * FROM app_mobile WHERE username = '许总' AND userid = 8059;

image-20230428174939613

方法二:网站重构

​ 在网站重构之后,我们可以在通讯录查看检索张某的手机号,发现存在许总的手机号。

image-20230429132315747

答案

​ 本案中受害者张某的手机通讯录中,名为“许总”的电话号码为:13917965858

22.请综合分析并重构网站,分析该网站第一次用于诈骗活动的时间(填写到日,格式为:2000-01-01)

解题

     **思路:**通过查看通讯录最后一个人,以及设备信息的最后一个,对比两个的时间戳是一致的

image-20230429132848040

image-20230429132916457

答案

​ 该网站第一次用于诈骗活动的时间:2020-12-11

23.请综合分析并重构网站,分析该网站设定的邀请码为

解题

思路:在重构网站的后台我们可以查看app设置里存在网站的邀请码

image-20230429130922146

答案

​ 该网站设定的邀请码为:700001

24.请综合分析并重构网站,分析该网站共记录的通信录数量为

解题

思路:在网站进行重构之后,我们在后台的首页就可以看到网站共记录的通信录数量

image-20230429131227393

答案

​ 该网站共记录的通信录数量为1145085

25.请综合分析并重构网站,分析最常登录后台的角色昵称为

解题

思路:查看后台的管理员操作日志,发现

image-20230429131753468

答案

​ 最常登录后台的角色昵称为:;lkl;k