案情简介
2024年4月,卢某报案至警方,声称自己疑似遭受了“杀猪盘”诈骗,大量钱财被骗走。卢某透露,在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏,起初资金出入均属正常。但随后,李某称赌博平台为提升安全性,更换了地址和玩法,转为通过群聊抢红包形式进行赌博。随着赌资不断增加,卢某投入巨额资金后,发现无法再访问该网站,同时李某也失去联系,卢某遂意识到自己被骗。
在经济压力下,卢某选择报警,并承认参与赌博活动,愿意承担相应法律后果。警方依据卢某提供的线索和手机数据,迅速锁定犯罪团伙,并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。警方对嫌疑人持有的物品进行了证据固定:李某手机被标记为检材1,窝点内服务器为检材2,赵某使用的计算机为检材3。
接下来,请取证工作者根据案情和这些检材进行深入分析,并解答后续问题。
容器密码:2024Fic@杭州Powered~by~HL!
服务器部分
1. esxi服务器的esxi版本为?
6.7.0
火眼仿真直接看
2. 请分析ESXi服务器,该系统的安装日期为:
2024-3-12
火眼开启虚拟化仿真,启动时默认的ip为192.168.8.112/静态
调整虚拟机模式为NAT,调整vmnet8子网ip
直接访问,以root加空密码登录,在主机界面-系统信息查看
3. 请分析ESXi服务器数据存储“datastore”的UUID是?
10 分
65efb8a8-ddd817f6-04ff-000c297bd0e6
在存储-datastore1- VMFS 详细信息查看
4. ESXI服务器的原IP地址?
https://192.168.8.112/
或pc历史记录
5. EXSI服务器中共创建了几个虚拟机?
4
VMware ESXi管理页面虚拟机界面查看
6. 网站服务器绑定的IP地址为?
192.168.8.89
看命名规则www应该为网站服务器,在pc-finalshell 可以查看到www连接记录,但没有root密码
yakit启动
扫描网段下存活的主机,ssh端口为22
利用pc里的字典进行爆破
测试登录查看网卡配置,与上述ip一致
7. 网站服务器的登录密码为?
qqqqqq
同上
8. 网站服务器所使用的管理面板登陆入口地址对应的端口号为:
14131
有宝塔,直接bt 14 命令
9. 网站服务器的web目录是?
/webapp
nginx配置
10. 网站配置中Redis的连接超时时间为多少秒
10
看jar包ruoyi-adminBOOT-INFclassesapplication.yml
11. 网站普通用户密码中使用的盐值为
反编译查看
!@#qaaxcfvghhjllj788+)_)((
12. 网站管理员用户密码的加密算法名称是什么
BCrypt
com.ruoyi.common.utils.SecurityUtils
13. 网站超级管理员用户账号创建的时间是?
2022-05-09 14:44:41
data主机启动后扫描ssh端口为22,还是使用字典爆破
密码为hl@7001
mysql在docker下
systemctl start docker
启动docker
docker ps -a
docker start 9b
ss -anpt 查看数据库端口
使用宝塔数据库的账号密码测试登录
sys_user表
14. 重构进入网站之后,用户管理下的用户列表页面默认有多少页数据
877
根据运维笔记修改配置
修改BOOT-INF/classes/application-druid.yml
修改BOOT-INF/classes/application.yml
Sys_job表修改cron_expression
sys_config 表检查 login_ip_limit 值。
sh start.sh start
重启网站
在线生成一个密码替换sys_user admin的密码,进行登录
15. 该网站的系统接口文档版本号为
3.8.2
系统工具-系统接口
16. 该网站获取订单列表的接口
/api/shopOrder
17. 受害人卢某的用户ID
10044888
18. 受害人卢某一共充值了多少钱
465222
19. 网站设置的单次抽奖价格为多少元
10
20. 网站显示的总余额数是
7354468.56
用户列表-资金统计
21. 网站数据库的root密码
my-secret-pw
docker inspect 9b在env中
22. 数据库服务器的操作系统版本是
CentOS Linux release 7.9.2009 (Core)
cat /etc/system-release
23. 数据库服务器的Docker Server版本是
1.13.1
docker info
24. 数据库服务器中数据库容器的完整ID是
9bf1cecec3957a5cd23c24c0915b7d3dd9be5238322ca5646e3d9e708371b765
dcoker inspect 9b
25. 数据库服务器中数据库容器使用的镜像ID
66c0e7ca4921e941cbdbda9e92242f07fe37c2bcbbaac4af701b4934dfc41d8a
dcoker inspect 9b
26. 数据库服务器中数据库容器创建的北京时间
2024-03-13T12:15:23.02589108Z
27. 数据库服务器中数据库容器的ip是
172.17.0.2
28. 分析数据库数据,在该平台邀请用户进群最多的用户的登录IP是
182.33.2.250
SELECT inviter_id,COUNT(*) AS total_invited FROM app_group_member WHERE inviter_id IS NOT NULL GROUP BY inviter_id ORDER BY total_invited DESC;
29. 分析数据库数据,在该平台抢得最多红包金额的用户的登录IP是
43.139.0.193
SELECT
user_id,
SUM(money) AS total_money
FROM
app_user_record
WHERE
object_type = 2 AND money > 0 -- 假设income为正数
GROUP BY
user_id
ORDER BY
total_money DESC; 
30. 数据库中记录的提现成功的金额总记是多少(不考虑手续费)
35821148.48
SELECT
SUM(amount) AS total_successful_withdrawn_amount
FROM
app_user_withdraw
WHERE
status = 3; 
31. rocketchat服务器中,有几个真实用户?
3
32. rocketchat服务器中,聊天服务的端口号是?
3000
同上
33. rocketchat服务器中,聊天服务的管理员的邮箱是?
同上
34. rocketchat服务器中,聊天服务使用的数据库的版本号是?
5.0.24
重置密码:https://blog.csdn.net/the_liang/article/details/129972481
ssh连接一直弹密码,看下ssh配置 /etc/ssh/sshd_config
把permitrootlogin打开
有docker
docker ps -a
docker inspect 92
35. rocketchat服务器中,最大的文件上传大小是?(以字节为单位)
104857600
36. rocketchat服务器中,管理员账号的创建时间为?
2024-03-14 08:19:54.951
March 14, 2024
docker inspect 92
走ssh连接数据库
37. rocketchat服务器中,技术员提供的涉诈网站地址是?
http://172.16.80.47
38. 综合分析服务器,该团伙的利润分配方案中,老李的利润占比是多少
35%
39. 综合分析服务器,该团队“杀猪盘”收网的可能时间段为
16-17
40. 请综合分析,警方未抓获的重要嫌疑人,其使用聊天平台时注册邮箱号为?
41. 分析openwrt镜像,该系统的主机名为
iStoreOS
启动openwrt
42. 分析openwrt镜像,该系统的内核版本为
5.10.201
43. 分析openwrt镜像,该静态ip地址为
192.168.8.5
44. 分析openwrt镜像,所用网卡的名称为
br-lan
同上
有保存密码
45. 分析openwrt镜像,该系统中装的docker的版本号为
20.10.22
46. 分析openwrt镜像,nastools的配置文件路径为
/root/Configs/NasTools
47. 分析openwrt镜像,使用的vpn代理软件为
passwall2
48. 分析openwrt镜像,vpn实际有多少个可用节点
54
49. 分析openwrt镜像,节点socks的监听端口是多少
1070
50. 分析openwrt镜像,vpn的订阅链接是
https://pqjc.site/api/v1/client/subscribe?token=243d7bf31ca985f8d496ce078333196a
原文始发于微信公众号(数据取证杂谈):2024FIC晋级赛-服务器部分
