手机取证1. 嫌疑人李某的手机型号是XiaoMi Mi4XiaoMi 6Iphone 15 proIPhone 15 peo max直接看设备信息是没有的然后在文档里面找找可以找到useragentxiaomi mi42. 嫌疑人李某是否可能有平板电脑设备如有该设备型号是看热点信息Xiaomi Pad 6S Pro 12.43. 嫌疑人李某手机开启热点设置的密码是5aada11bc1b54. 嫌疑人李某的微信内部 ID 是wxid_wnigmud8aj6j125. 嫌疑人李某发送给技术人员的网站源码下载地址是什么根据题目推测在微信聊天里面找到相关信息佛曰加密扫二维码复制文本内容用佛曰解密http://hi.pcmoe.net/Buddha.html不知道为什么进不去了可以用美亚的工具集的解密工具或者用 qc research也可以得到加密文本新佛曰諸隸僧殿降吽諸陀摩隸殿僧殿缽殿薩願僧殿宣摩殿嚴願殿是迦咒叻吶嚤須塞亦須阿隸嚤須愍眾殿蜜殿隸願蜜哆蜜亦願是念慧殿隸摩哆殿即隸嚤訶須隸亦愍如如殿囑殿囑解密下来是这个http://www.honglian7001.com/down6. 受害者微信用户 ID 是limoon8907. 嫌疑人李某第一次连接 WIFI 的时间是右键跳转到源文件03-14 16:55:57.2498.分析嫌疑人李某的社交习惯哪一个时间段消息收发最活跃14-1616-1818-2020-22这个直接看聊天时间就行发现很多时间都是 16-189. 请分析嫌疑人手机该案件团伙中还有一名重要参与者警方未抓获该嫌疑人所使用的微信账号 ID 为老苏wxid_kolc5oaiap6z2210. 请分析嫌疑人手机嫌疑人老板组织人员参与赌博活动所使用的国内访问入口地址为192.168.110.110:8000/login服务器取证1.esxi 服务器的 esxi 版本为6.7.02.请分析 ESXi 服务器该系统的安装日期为年-月-日 时:分:秒A. 2024 年 3 月 12 日 星期二 02:04:15 UTCB. 2024 年 3 月 12 日 星期二 02:05:15 UTCC. 2024 年 3 月 12 日 星期二 02:06:15 UTCD. 2024 年 3 月 12 日 星期二 02:07:15 UTC创建时间3. 请分析 ESXi 服务器数据存储 “datastore” 的 UUID 是仿真记得 vm 嵌套虚拟化或者 hyperv 来实现看到 ip192.168.8.112若 vmware 报错无法嵌套虚拟化https://www.bilibili.com/video/BV1NXABzGETp/?spm_id_from333.337.search-card.all.click这个能很快解决修改一下子网 ip192.168.8.0确保电脑和ESXi主机在同一网段原理图为什么同一网段因为在默认的简单网络环境中尤其在没有专业网络知识配置的情况下跨网段的路由通常不是自动建立的。如果路由器没有配置到192.168.8.0/24网段的路由数据包到达网关后就会被丢弃导致“无法访问”或“请求超时”。然后到自己浏览器上访问192.168.8.112找到 datastore65efb8a8-ddd817f6-04ff-000c297bd0e64. ESXI 服务器的原 IP 地址见上题 192.168.8.1125. EXSI 服务器中共创建了几个虚拟机4 个6. 网站服务器绑定的 IP 地址为方法一:直接看我这里直接有点开看看是不是就行(其实光看名字就觉得 www 这个应该是网站服务器)方法二:御剑端口扫描御剑直接扫描 192.168.8.0--255访问试试可以发现 192.168.8.89 是网站服务器方法三:查看 config 文件所以我直接把镜像文件找出来添加为新检材然后再文件系统直接搜索 sysconfig再这里可以找到 ip192.168.8.89方法四:绕过密码登录查看 ip打开虚拟机的时候点 e进入此界面看这个师傅的博客7. 网站服务器的登录密码为这个题可以用 commonpwd.txt(计算机取证里的字典) 里面的密码爆破方法一:hydra用 hydra 工具这个博客有详细教程在 hydra 安装目录开启终端输入 hydra -l root -p 你的字典路径 -o 结果保存路径 服务器名://服务器 ip然后可以得到 qqqqqq 是密码但是我这里显示系统接口502异常方法二:导出 shadowJohn the Ripper(服务器运维、Linux 渗透测试)爆破,速度很快在火眼里面需要把 www 这个虚拟机镜像当成新检材添加然后在文件系统里面搜索 shadowpasswd或者找到/etc/shadow,/etc/passwd使用工具John the Ripper(开膛手约翰)。适合各种系统如果是 kaili 应该是自带的。下载解压后去run 文件夹下把你的shadow 和密码字典复制到里面Shadow 文件是 Linux/Unix 系统中存储用户密码加密信息哈希值的关键系统文件正式名称为/etc/shadow。shadow 仅 root 可读加密复杂可以保护密码然后在这里右键运行终端输入命令john --wordlistcommon.txt shadow.txtpowershell 需要在最前面加上.\可以看到爆破出来了账号root 密码 qqqqqq方法三:passware kit( Windows/Office/Mac 密码)属于是吃力不讨好的办法了passware kit 通常需要你将/etc/shadow和/etc/passwd文件合并成一个它支持的格式如pwdump格式或者直接导入这两个文件。而这个合并操作需要 unshadow 来进行(John the Ripper自带)导入软件打开 Passware Kit选择“恢复文件密码”或类似选项导入生成的passwd.file或尝试直接导入 shadow 文件。软件会自动识别哈希类型如 SHA-512。流程的话后面计算机的题目我有写到对比维度/etc/passwd/etc/shadow存储内容用户基本信息(名称、UID、家目录、Shell)用户密码哈希、密码策略权限设置所有人可读-rw-r--r--仅root 可读-rw---- 或 -rw-r----- )安全级别低 (公开信息)高 (敏感信息)历史演变早期Unix 就存在为安全分离出来(Shadow Suite)是否必需必需系统启动就需要非必需可回退到 passwd 存密码方法四:Hash Suite图形化工具(GUI) Windows 专用密码审计工具支持 shadow 文件有收费版本也有 free 版本.用起来方便但是不合适效率低需先用unshadow工具合并/etc/passwd和/etc/shadow才能导入步骤繁琐。和 passware kit 一样8. 网站服务器所使用的管理面板登陆入口地址对应的端口号为141319. 网站服务器的 web 目录是接下来启动宝塔面板得用 ssh 连接直接在虚拟机上会有乱码。cmd 进入终端输入 ssh root192.168.8.89 回车输入 yes输入密码 qqqqqq就可以了然后直接输入 bt可以先启动宝塔服务 3然后修改密码 5直接在浏览器上计入 192.168.8.89:14131,进不去然后再终端输入 bt14 等一会然后访问这个 https://192.168.8.89:14131/adec8c75这里其实在火眼可以看到有安全入口但我并不太清除这些登录在根目录发现一个 webapp那答案就是/webapp10. 网站配置中 Redis 的连接超时时间为多少秒软件商店最近入口 redis看性能调整0 秒.但是不对查了一下概念比喻技术含义连接超时前台接待等待时间 你走到前台服务员30秒内没回应你就离开建立TCP连接时客户端等待服务器响应的最长时间空闲超时客房闲置清理 你入住酒店后连续3天不出门酒店来检查连接建立后如果一段时间内无数据交互服务器主动断开1. 连接超时 (Connection Timeout)特点发生在TCP三次握手阶段客户端设置防止无限等待默认值2-5秒错误提示Connection timed out、ECONNREFUSED2. 空闲超时 (Idle Timeout)特点发生在连接建立后的闲置期服务器端设置清理无效连接Redis默认0禁用永不超时错误提示突然断开下次请求时发现连接已关闭配置位置服务端redis.conf连接超时客户端 → 服务器建连接时空闲超时服务器 → 客户端连接建立后在哪里找连接超时客户端连接超时是应用程序设置的不是 Redis 服务端控制的。需要在代码或配置文件中查找。在网站目录里面找到一个 jar 文件ruoyi-admin.jar这是一个 Java 的可执行 JAR 包表明它是 若依RuoYi 后台管理系统的打包文件)3. 问 ai1. 里面有什么结构解析用压缩软件如 WinRAR、7-Zip打开它你会看到以下核心目录BOOT-INF/classes/核心配置文件和源码。这里面有一个application.yml或application-dev.yml这就是你要找的配置文件Redis 的连接超时设置就在里面。BOOT-INF/lib/依赖库。里面装满了各种.jar文件Spring、MyBatis 等框架让程序能跑起来。META-INF/存放签名、清单信息。org/springframework/boot/loader/Spring Boot 的启动加载器负责读取上面的内容并启动应用。2. 如何查看 Redis 连接超时你要找的是application.yml配置文件它在BOOT-INF/classes/目录里。按照 ai 说得解压查看了 application.yml 文件可以找到 10s不想解压可以用 jadx 打开到资源文件里面也可以找到11. 网站普通用户密码中使用的盐值为根据题目中得用户密码在 jadx 里面搜索类名ruoyi找到这个com.ruoyi.app.controller.UserInfoController在里面随便翻一翻就可以找到这个!#qaaxcfvghhjllj788)_)((很像是盐值这里是调用了 encrypassword右键跳转到声明。可以看到是psw 和 salt 得 MD5那就和刚刚对上了那就是盐值12. 网站管理员用户密码的加密算法名称是什么[格式Sha256]在这里无意找到了Bcrypt13. 网站超级管理员用户账号创建的时间是方法一:直接火眼但是我在 data 虚拟机里面的 docker 找到了 ji-mei 的 sys-user 2022-05-09 14:44:41方法二:连接数据库尝试登录 mysql发现使用这个密码不对在 pc 上又发现了一个密码试一试my-secret-pw还是不行但是也知道了 mysql 在 data 服务器上面且知道账号 root 密码 hl7001登录一下 data 服务器成功了看下有没有 mysql 或者在火眼上可以看到在 docker 里面启动一下 docker然后输入 docker ps -a 查看所有容器(包括已经停止的)可以看到 mysql然后 docker start mysql 启动启动成功了就可以连接数据库了打开 navicat输入账号密码和 ip192.168.8.142测试连接成功然后在 sys-user 可以找到14. 重构进入网站之后用户管理下的用户列表页面默认有多少页数据登录网站试试显示系统接口 502 异常突然想起计算机有个运维笔记(我是最后做的服务器)重构思路参考这个师傅的博客先进入 webapp 目录然后修改 jar 包输入[rootlocalhost webapp]# jar xf ruoyi-admin.jar BOOT-INF/classes/application-druid.yml[rootlocalhost webapp]# vi BOOT-INF/classes/application-druid.ymllocalhost改为192.168.8.142再把密码改成JnzssCCsp2NCpcjAVim 允许你录制一系列操作比如移动光标、删除、插入、复制等然后重复执行这些操作这就是“宏”。当你按下q 一个字母比如qa时Vim 会开始录制宏左下角会显示recording。再次按下q结束录制。之后可以用a来执行刚才录制的宏。这里注意刚进去是只读状态修改要按 i然后左下角就会有提示 insert。修改完成之后按 escinsert 会消失但这只是退出了 vim 编辑还需要回复命令模式按 shift即冒号左下角就会有个:,然后输入 wq 就行了(:wq 是保存并退出)[rootlocalhost webapp]# jar uf ruoyi-admin.jar BOOT-INF/classes/application-druid.yml在上一题的数据库中的 sys-job 修改一下时间(也是按照运维笔记)ls -al 可以看到修改时间变了就是成功了然后修改 redis 输入[rootlocalhost webapp]# jar xf ruoyi-admin.jar BOOT-INF/classes/application.yml[rootlocalhost webapp]# vi BOOT-INF/classes/application.ymllocalhost 修改为 127.0.0.1[rootlocalhost webapp]# jar uf ruoyi-admin.jar BOOT-INF/classes/application.yml最后按照运维笔记上的提示修改时间然后等一会。启动 ruoyijava -jar ruoyi-admin.jar然后再次访问后台网站还是不行(我这里还无法 ssh 连接很难受)然后看了看几个其他师傅的博客知道改数据库时间是因为 202X 年 1 月 1 日已经过去了我现在是 2026 年的一月一日都过去了所以应该修改为 20262027然后再次尝试可以看到应该是成功了192.168.8.89访问一下不报错了然后在 sys_user修改 admin 的密码密码加密是bcrpyt生成一个密码替换10$2ISiYpmPm.pPutoErWZuP.3Oqa4JJOUEmjhOkWM8mcIPLD8aeFDb2但是又说验证码已失效对比一下别人的都是有验证码的那没办法了应该是把验证码服务取消了。借用WXjzc 师傅的图片了进去应该可以看到这个 877 页15. 该网站的系统接口文档版本号为3.8.216. 该网站获取订单列表的接口是/api/shopOrder17. 受害人卢某的用户 ID 是1004488818. 受害人卢某一共充值了多少钱这里需要写一个 sql 语句46522219. 网站设置的单次抽奖价格为多少元1020. 网站显示的总余额数是7354468.5621. 网站数据库的 root 密码是my-secret-pw22. 数据库服务器的操作系统版本是7.9.200923. 数据库服务器的 Docker Server 版本是这里就可以正常做了直接搜索在文件系统搜索 docker1.13.124. 数据库服务器中数据库容器的完整 ID 是9bf1cecec3957a5cd23c24c0915b7d3dd9be5238322ca5646e3d9e708371b76525. 数据库服务器中数据库容器使用的镜像 ID 是66c0e7ca4921e941cbdbda9e92242f07fe37c2bcbbaac4af701b4934dfc41d8a26. 数据库服务器中数据库容器创建的北京时间是2024-03-13 20:15:2327. 数据库服务器中数据库容器的 ip 是输入 docker inspect 9bf1cecec395172.17.0.2获取 ID 为9bf1cecec395的 Docker 对象的完整配置和状态信息28. 分析数据库数据在该平台邀请用户进群最多的用户的登录 IP 是在 app_group_apply表里面邀请最多的是53576061然后在 app_user_info 的 id 筛选 223.104.51.3429.分析数据库数据在该平台抢得最多红包金额的用户的登录 IP 是在app_user_record表中sql 查询1310714543.139.0.193SELECT user_id, SUM(money) AS total_money FROM app_user_record WHERE notes 抢群红包 GROUP BY user_id ORDER BY total_money DESC;30. 数据库中记录的提现成功的金额总计是多少不考虑手续费在 app_user_withdraw 表里面sql 查询35821148.4831.rocketchat 服务器中有几个真实用户不知道服务器密码其他博客的方法重置了密码重启登陆一下ip addr 我这里是 192.168.8.129端口应该是 3000http://192.168.8.129:3000还有账号密码在 pc 里面点击 workspace里面有个用户可以看到四个有一个是机器人所以是三个32. rocketchat 服务器中聊天服务的端口号是3000 见上题33. rocketchat 服务器中聊天服务的管理员的邮箱是adminadmin.com见 上题34.rocketchat 服务器中聊天服务使用的数据库的版本号是reports 设置有5.0.2435. rocketchat 服务器中最大的文件上传大小是以字节为单位设置里面的文件上传36. rocketchat 服务器中管理员账号的创建时间为这个应该要在 mongodb 数据库里面找了在火眼可以看到在容器里面2024-03-14 08:19:54方法一直接查询输入 mongo 会提示警告表示已经弃用应该使用 mongosh.连接成功然后 db.users.find(),查询一下发现有点多看不到尝试 ssh 连接被拒绝了在终端输入vim /etc/ssh/sshd_config, 去掉PermitRootLogin前的#并修改后面的值为yes保存后重启ssh服务方法二数据库连接输入 docker inspect rocketchat-mongodb-1,查看数据库容器 ip172.18.0.2Cannot connect to MongoDB.No suitable servers found: ‘serverSelectionTimeoutMS’expired 问题排查_cannot connect to mongodb. no suitable servers fou-CSDN博客37. rocketchat 服务器中技术员提供的涉诈网站地址是http://172.16.80.4738. 综合分析服务器该团伙的利润分配方案中老李的利润占比是多少35%39. 综合分析服务器该团队 “杀猪盘” 发送消息“收网”的时间为2025-02-11 19:16看来是这个时间 2024-03-15 16:1440. 请综合分析警方未抓获的重要嫌疑人其使用聊天平台时注册邮箱号为laosu.com41. 分析 openwrt 镜像该系统的主机名为打开虚拟机就是 iStoreOS平台上的42.分析 openwrt 镜像该系统的内核版本为输入 uname -r平台43. 分析 openwrt 镜像该静态 ip 地址为这些 ip 问题最好在 pc 上面找保证一定是对的。192.168.8.5自己虚拟机可能会有一些配置问题导致 ip 不一样。像我这个我输入 ip addr出来就是 192.168.8.128 就是不对的后面登上平台显示 192.168.8.5.44. 分析 openwrt 镜像所用网卡的名称为给了上一题的图问了 ai给了我一个表格。应该就是 br-lan网卡名称类型/状态IP地址说明br-lan桥接接口 (UP)192.168.8.128/24通常用于 OpenWrt 的LAN 口连接局域网设备dockerθDocker 桥接接口 (UP)172.17.0.1/16Docker默认桥接网络用于容器间通信veth1f887d5if15虚拟以太网对 (UP)无IPDocker容器与宿主机通信用的虚拟网卡teq1θ流量控制队列 (DOWN)无通常用于负载均衡当前未启用link/void未连接/虚拟接口无可能是占位或未配置的接口但是不对登上网站试试访问 192.168.8.128(我这里是这个不一定)密码 hl7001(来自计算机第 17 题)eth045. 分析 openwrt 镜像该系统中装的 docker 的版本号为20.10.2246. 分析 openwrt 镜像nastools 的配置文件路径为/root/Configs/NasTools47. 分析 openwrt 镜像使用的 vpn 代理软件为pqsswall248. 分析 openwrt 镜像vpn 实际有多少个可用节点54 不对53 个节点” ≠ “可用节点”一个“VPN 节点”在系统中可能只是配置项比如 IP、端口、协议、密码等只有当它能通过网络连通并成功建立隧道时才叫“可用节点”49.分析 openwrt 镜像节点 socks 的监听端口是多少107050. 分析 openwrt 镜像vpn 的订阅链接是服务的节点订阅编辑https://pqjc.site/api/v1/client/subscribe?token243d7bf31ca985f8d496ce078333196a计算机取证1. 分析技术员赵某的 windows 镜像并计算赵某计算机的原始镜像的 SHA1 值为计算 sha1FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD62. 分析技术员赵某的 windows 镜像疑似 VeraCrypt 加密容器的文件的 SHA1 值为一般这些都在用户痕迹里面可以找到很重要的一个分析很明显这个 2024.fic 就是文件系统搜索一下右键哈希B25E2804B586394778C800D410ED7BCDC05A19C83. 据赵某供述他会将常用的密码放置在一个文档内分析技术员赵某的 windows 镜像找到技术员赵某的密码字典并计算该文件的 SHA1 值文档E6EB3D28C53E903A71880961ABB553EF090890074. 据赵某供述他将加密容器的密码隐写在一张图片内隐写在图片中的容器密码是在文档隐写那就先用 010 打开翻到最后面qwerasdfzxcv5. 分析技术员赵某的 windows 镜像bitlocker 的恢复密钥是什么将 2024fic 挂载在里面发现了恢复密钥404052-011088-453090-291500-377751-349536-330429-2572356. 分析技术员赵某的 windows 镜像bitlocker 分区的起始扇区数是点击分区详情1467944967. 分析技术员赵某的 windows 镜像默认的浏览器是Chrome8. 分析技术员赵某的 windows 镜像私有聊天服务器的密码为在 2024fic 里面Zhao9. 分析技术员赵某的 windows 镜像嫌疑人计算机中有疑似使用 AI 技术生成的进行赌博宣传的图片该图片中宣传的赌博网站地址为第三个照片www.585975.com10.分析技术员赵某的 windows 镜像赵某使用的 AI 换脸工具名称为在 D 盘找到这个感觉是打开看看roop11. 分析技术员赵某的 windows 镜像使用 AI 换脸功能生成了一张图片该图片的名称为看到了这个长得像某明星 db.jpg12. 分析技术员赵某的 windows 镜像ai 换脸生成图片的参数中 --similar-face-distance 值为0.8513. 分析技术员赵某的 windows 镜像嫌疑人使用 AI 换脸功能所使用的原始图片名称为怀疑是 dst01.jpeg终端历史记录确定了14. 分析技术员赵某的 windows 镜像赵某与李某沟通中提到的 “二维码” 解密所用的网站 url 地址为http://hi.pcmoe.net/buddha.html15. 分析技术员赵某的 windows 镜像赵某架设聊天服务器的原始 IP 地址为192.168.8.17或者在上一题的图片中也可以看到16. 分析技术员赵某的 windows 镜像据赵某交代其在窝点中直接操作服务器进行部署环境搭建好了之后使用个人计算机登录聊天室进行沟通请分析赵某第一次访问聊天室的时间为2024-03-14 20:32:0817. 分析技术员赵某的 windows 镜像openwrt 的后台管理密码是只可能是这个了 hl700118. 分析技术员赵某的 windows 镜像嫌疑人可能使用什么云来进行文件存储往下再翻一翻易有云19. 分析技术员赵某的 windows 镜像工资表密码是多少找不到密码应该是要爆破用 passwarekit双击不行用这个在安装程序目录下的终端输入 msiexec /package PasswareKitForensic_Setup.msi只找到一个名单.xslx在本地打开拖到 passware 里面,选择自定义设置右下角删除所有左下角添加字典打开字典管理器左下角选择从文件编译选择你新建的 txt(有 commonpwd.txt 密码的),勾选保持顺序下一步完成选择那个字典直接点击修复就开始攻击了aa12345620. 分析技术员赵某的 windows 镜像张伟的工资是多少28300
2024 FIC初赛 (write up)
手机取证1. 嫌疑人李某的手机型号是XiaoMi Mi4XiaoMi 6Iphone 15 proIPhone 15 peo max直接看设备信息是没有的然后在文档里面找找可以找到useragentxiaomi mi42. 嫌疑人李某是否可能有平板电脑设备如有该设备型号是看热点信息Xiaomi Pad 6S Pro 12.43. 嫌疑人李某手机开启热点设置的密码是5aada11bc1b54. 嫌疑人李某的微信内部 ID 是wxid_wnigmud8aj6j125. 嫌疑人李某发送给技术人员的网站源码下载地址是什么根据题目推测在微信聊天里面找到相关信息佛曰加密扫二维码复制文本内容用佛曰解密http://hi.pcmoe.net/Buddha.html不知道为什么进不去了可以用美亚的工具集的解密工具或者用 qc research也可以得到加密文本新佛曰諸隸僧殿降吽諸陀摩隸殿僧殿缽殿薩願僧殿宣摩殿嚴願殿是迦咒叻吶嚤須塞亦須阿隸嚤須愍眾殿蜜殿隸願蜜哆蜜亦願是念慧殿隸摩哆殿即隸嚤訶須隸亦愍如如殿囑殿囑解密下来是这个http://www.honglian7001.com/down6. 受害者微信用户 ID 是limoon8907. 嫌疑人李某第一次连接 WIFI 的时间是右键跳转到源文件03-14 16:55:57.2498.分析嫌疑人李某的社交习惯哪一个时间段消息收发最活跃14-1616-1818-2020-22这个直接看聊天时间就行发现很多时间都是 16-189. 请分析嫌疑人手机该案件团伙中还有一名重要参与者警方未抓获该嫌疑人所使用的微信账号 ID 为老苏wxid_kolc5oaiap6z2210. 请分析嫌疑人手机嫌疑人老板组织人员参与赌博活动所使用的国内访问入口地址为192.168.110.110:8000/login服务器取证1.esxi 服务器的 esxi 版本为6.7.02.请分析 ESXi 服务器该系统的安装日期为年-月-日 时:分:秒A. 2024 年 3 月 12 日 星期二 02:04:15 UTCB. 2024 年 3 月 12 日 星期二 02:05:15 UTCC. 2024 年 3 月 12 日 星期二 02:06:15 UTCD. 2024 年 3 月 12 日 星期二 02:07:15 UTC创建时间3. 请分析 ESXi 服务器数据存储 “datastore” 的 UUID 是仿真记得 vm 嵌套虚拟化或者 hyperv 来实现看到 ip192.168.8.112若 vmware 报错无法嵌套虚拟化https://www.bilibili.com/video/BV1NXABzGETp/?spm_id_from333.337.search-card.all.click这个能很快解决修改一下子网 ip192.168.8.0确保电脑和ESXi主机在同一网段原理图为什么同一网段因为在默认的简单网络环境中尤其在没有专业网络知识配置的情况下跨网段的路由通常不是自动建立的。如果路由器没有配置到192.168.8.0/24网段的路由数据包到达网关后就会被丢弃导致“无法访问”或“请求超时”。然后到自己浏览器上访问192.168.8.112找到 datastore65efb8a8-ddd817f6-04ff-000c297bd0e64. ESXI 服务器的原 IP 地址见上题 192.168.8.1125. EXSI 服务器中共创建了几个虚拟机4 个6. 网站服务器绑定的 IP 地址为方法一:直接看我这里直接有点开看看是不是就行(其实光看名字就觉得 www 这个应该是网站服务器)方法二:御剑端口扫描御剑直接扫描 192.168.8.0--255访问试试可以发现 192.168.8.89 是网站服务器方法三:查看 config 文件所以我直接把镜像文件找出来添加为新检材然后再文件系统直接搜索 sysconfig再这里可以找到 ip192.168.8.89方法四:绕过密码登录查看 ip打开虚拟机的时候点 e进入此界面看这个师傅的博客7. 网站服务器的登录密码为这个题可以用 commonpwd.txt(计算机取证里的字典) 里面的密码爆破方法一:hydra用 hydra 工具这个博客有详细教程在 hydra 安装目录开启终端输入 hydra -l root -p 你的字典路径 -o 结果保存路径 服务器名://服务器 ip然后可以得到 qqqqqq 是密码但是我这里显示系统接口502异常方法二:导出 shadowJohn the Ripper(服务器运维、Linux 渗透测试)爆破,速度很快在火眼里面需要把 www 这个虚拟机镜像当成新检材添加然后在文件系统里面搜索 shadowpasswd或者找到/etc/shadow,/etc/passwd使用工具John the Ripper(开膛手约翰)。适合各种系统如果是 kaili 应该是自带的。下载解压后去run 文件夹下把你的shadow 和密码字典复制到里面Shadow 文件是 Linux/Unix 系统中存储用户密码加密信息哈希值的关键系统文件正式名称为/etc/shadow。shadow 仅 root 可读加密复杂可以保护密码然后在这里右键运行终端输入命令john --wordlistcommon.txt shadow.txtpowershell 需要在最前面加上.\可以看到爆破出来了账号root 密码 qqqqqq方法三:passware kit( Windows/Office/Mac 密码)属于是吃力不讨好的办法了passware kit 通常需要你将/etc/shadow和/etc/passwd文件合并成一个它支持的格式如pwdump格式或者直接导入这两个文件。而这个合并操作需要 unshadow 来进行(John the Ripper自带)导入软件打开 Passware Kit选择“恢复文件密码”或类似选项导入生成的passwd.file或尝试直接导入 shadow 文件。软件会自动识别哈希类型如 SHA-512。流程的话后面计算机的题目我有写到对比维度/etc/passwd/etc/shadow存储内容用户基本信息(名称、UID、家目录、Shell)用户密码哈希、密码策略权限设置所有人可读-rw-r--r--仅root 可读-rw---- 或 -rw-r----- )安全级别低 (公开信息)高 (敏感信息)历史演变早期Unix 就存在为安全分离出来(Shadow Suite)是否必需必需系统启动就需要非必需可回退到 passwd 存密码方法四:Hash Suite图形化工具(GUI) Windows 专用密码审计工具支持 shadow 文件有收费版本也有 free 版本.用起来方便但是不合适效率低需先用unshadow工具合并/etc/passwd和/etc/shadow才能导入步骤繁琐。和 passware kit 一样8. 网站服务器所使用的管理面板登陆入口地址对应的端口号为141319. 网站服务器的 web 目录是接下来启动宝塔面板得用 ssh 连接直接在虚拟机上会有乱码。cmd 进入终端输入 ssh root192.168.8.89 回车输入 yes输入密码 qqqqqq就可以了然后直接输入 bt可以先启动宝塔服务 3然后修改密码 5直接在浏览器上计入 192.168.8.89:14131,进不去然后再终端输入 bt14 等一会然后访问这个 https://192.168.8.89:14131/adec8c75这里其实在火眼可以看到有安全入口但我并不太清除这些登录在根目录发现一个 webapp那答案就是/webapp10. 网站配置中 Redis 的连接超时时间为多少秒软件商店最近入口 redis看性能调整0 秒.但是不对查了一下概念比喻技术含义连接超时前台接待等待时间 你走到前台服务员30秒内没回应你就离开建立TCP连接时客户端等待服务器响应的最长时间空闲超时客房闲置清理 你入住酒店后连续3天不出门酒店来检查连接建立后如果一段时间内无数据交互服务器主动断开1. 连接超时 (Connection Timeout)特点发生在TCP三次握手阶段客户端设置防止无限等待默认值2-5秒错误提示Connection timed out、ECONNREFUSED2. 空闲超时 (Idle Timeout)特点发生在连接建立后的闲置期服务器端设置清理无效连接Redis默认0禁用永不超时错误提示突然断开下次请求时发现连接已关闭配置位置服务端redis.conf连接超时客户端 → 服务器建连接时空闲超时服务器 → 客户端连接建立后在哪里找连接超时客户端连接超时是应用程序设置的不是 Redis 服务端控制的。需要在代码或配置文件中查找。在网站目录里面找到一个 jar 文件ruoyi-admin.jar这是一个 Java 的可执行 JAR 包表明它是 若依RuoYi 后台管理系统的打包文件)3. 问 ai1. 里面有什么结构解析用压缩软件如 WinRAR、7-Zip打开它你会看到以下核心目录BOOT-INF/classes/核心配置文件和源码。这里面有一个application.yml或application-dev.yml这就是你要找的配置文件Redis 的连接超时设置就在里面。BOOT-INF/lib/依赖库。里面装满了各种.jar文件Spring、MyBatis 等框架让程序能跑起来。META-INF/存放签名、清单信息。org/springframework/boot/loader/Spring Boot 的启动加载器负责读取上面的内容并启动应用。2. 如何查看 Redis 连接超时你要找的是application.yml配置文件它在BOOT-INF/classes/目录里。按照 ai 说得解压查看了 application.yml 文件可以找到 10s不想解压可以用 jadx 打开到资源文件里面也可以找到11. 网站普通用户密码中使用的盐值为根据题目中得用户密码在 jadx 里面搜索类名ruoyi找到这个com.ruoyi.app.controller.UserInfoController在里面随便翻一翻就可以找到这个!#qaaxcfvghhjllj788)_)((很像是盐值这里是调用了 encrypassword右键跳转到声明。可以看到是psw 和 salt 得 MD5那就和刚刚对上了那就是盐值12. 网站管理员用户密码的加密算法名称是什么[格式Sha256]在这里无意找到了Bcrypt13. 网站超级管理员用户账号创建的时间是方法一:直接火眼但是我在 data 虚拟机里面的 docker 找到了 ji-mei 的 sys-user 2022-05-09 14:44:41方法二:连接数据库尝试登录 mysql发现使用这个密码不对在 pc 上又发现了一个密码试一试my-secret-pw还是不行但是也知道了 mysql 在 data 服务器上面且知道账号 root 密码 hl7001登录一下 data 服务器成功了看下有没有 mysql 或者在火眼上可以看到在 docker 里面启动一下 docker然后输入 docker ps -a 查看所有容器(包括已经停止的)可以看到 mysql然后 docker start mysql 启动启动成功了就可以连接数据库了打开 navicat输入账号密码和 ip192.168.8.142测试连接成功然后在 sys-user 可以找到14. 重构进入网站之后用户管理下的用户列表页面默认有多少页数据登录网站试试显示系统接口 502 异常突然想起计算机有个运维笔记(我是最后做的服务器)重构思路参考这个师傅的博客先进入 webapp 目录然后修改 jar 包输入[rootlocalhost webapp]# jar xf ruoyi-admin.jar BOOT-INF/classes/application-druid.yml[rootlocalhost webapp]# vi BOOT-INF/classes/application-druid.ymllocalhost改为192.168.8.142再把密码改成JnzssCCsp2NCpcjAVim 允许你录制一系列操作比如移动光标、删除、插入、复制等然后重复执行这些操作这就是“宏”。当你按下q 一个字母比如qa时Vim 会开始录制宏左下角会显示recording。再次按下q结束录制。之后可以用a来执行刚才录制的宏。这里注意刚进去是只读状态修改要按 i然后左下角就会有提示 insert。修改完成之后按 escinsert 会消失但这只是退出了 vim 编辑还需要回复命令模式按 shift即冒号左下角就会有个:,然后输入 wq 就行了(:wq 是保存并退出)[rootlocalhost webapp]# jar uf ruoyi-admin.jar BOOT-INF/classes/application-druid.yml在上一题的数据库中的 sys-job 修改一下时间(也是按照运维笔记)ls -al 可以看到修改时间变了就是成功了然后修改 redis 输入[rootlocalhost webapp]# jar xf ruoyi-admin.jar BOOT-INF/classes/application.yml[rootlocalhost webapp]# vi BOOT-INF/classes/application.ymllocalhost 修改为 127.0.0.1[rootlocalhost webapp]# jar uf ruoyi-admin.jar BOOT-INF/classes/application.yml最后按照运维笔记上的提示修改时间然后等一会。启动 ruoyijava -jar ruoyi-admin.jar然后再次访问后台网站还是不行(我这里还无法 ssh 连接很难受)然后看了看几个其他师傅的博客知道改数据库时间是因为 202X 年 1 月 1 日已经过去了我现在是 2026 年的一月一日都过去了所以应该修改为 20262027然后再次尝试可以看到应该是成功了192.168.8.89访问一下不报错了然后在 sys_user修改 admin 的密码密码加密是bcrpyt生成一个密码替换10$2ISiYpmPm.pPutoErWZuP.3Oqa4JJOUEmjhOkWM8mcIPLD8aeFDb2但是又说验证码已失效对比一下别人的都是有验证码的那没办法了应该是把验证码服务取消了。借用WXjzc 师傅的图片了进去应该可以看到这个 877 页15. 该网站的系统接口文档版本号为3.8.216. 该网站获取订单列表的接口是/api/shopOrder17. 受害人卢某的用户 ID 是1004488818. 受害人卢某一共充值了多少钱这里需要写一个 sql 语句46522219. 网站设置的单次抽奖价格为多少元1020. 网站显示的总余额数是7354468.5621. 网站数据库的 root 密码是my-secret-pw22. 数据库服务器的操作系统版本是7.9.200923. 数据库服务器的 Docker Server 版本是这里就可以正常做了直接搜索在文件系统搜索 docker1.13.124. 数据库服务器中数据库容器的完整 ID 是9bf1cecec3957a5cd23c24c0915b7d3dd9be5238322ca5646e3d9e708371b76525. 数据库服务器中数据库容器使用的镜像 ID 是66c0e7ca4921e941cbdbda9e92242f07fe37c2bcbbaac4af701b4934dfc41d8a26. 数据库服务器中数据库容器创建的北京时间是2024-03-13 20:15:2327. 数据库服务器中数据库容器的 ip 是输入 docker inspect 9bf1cecec395172.17.0.2获取 ID 为9bf1cecec395的 Docker 对象的完整配置和状态信息28. 分析数据库数据在该平台邀请用户进群最多的用户的登录 IP 是在 app_group_apply表里面邀请最多的是53576061然后在 app_user_info 的 id 筛选 223.104.51.3429.分析数据库数据在该平台抢得最多红包金额的用户的登录 IP 是在app_user_record表中sql 查询1310714543.139.0.193SELECT user_id, SUM(money) AS total_money FROM app_user_record WHERE notes 抢群红包 GROUP BY user_id ORDER BY total_money DESC;30. 数据库中记录的提现成功的金额总计是多少不考虑手续费在 app_user_withdraw 表里面sql 查询35821148.4831.rocketchat 服务器中有几个真实用户不知道服务器密码其他博客的方法重置了密码重启登陆一下ip addr 我这里是 192.168.8.129端口应该是 3000http://192.168.8.129:3000还有账号密码在 pc 里面点击 workspace里面有个用户可以看到四个有一个是机器人所以是三个32. rocketchat 服务器中聊天服务的端口号是3000 见上题33. rocketchat 服务器中聊天服务的管理员的邮箱是adminadmin.com见 上题34.rocketchat 服务器中聊天服务使用的数据库的版本号是reports 设置有5.0.2435. rocketchat 服务器中最大的文件上传大小是以字节为单位设置里面的文件上传36. rocketchat 服务器中管理员账号的创建时间为这个应该要在 mongodb 数据库里面找了在火眼可以看到在容器里面2024-03-14 08:19:54方法一直接查询输入 mongo 会提示警告表示已经弃用应该使用 mongosh.连接成功然后 db.users.find(),查询一下发现有点多看不到尝试 ssh 连接被拒绝了在终端输入vim /etc/ssh/sshd_config, 去掉PermitRootLogin前的#并修改后面的值为yes保存后重启ssh服务方法二数据库连接输入 docker inspect rocketchat-mongodb-1,查看数据库容器 ip172.18.0.2Cannot connect to MongoDB.No suitable servers found: ‘serverSelectionTimeoutMS’expired 问题排查_cannot connect to mongodb. no suitable servers fou-CSDN博客37. rocketchat 服务器中技术员提供的涉诈网站地址是http://172.16.80.4738. 综合分析服务器该团伙的利润分配方案中老李的利润占比是多少35%39. 综合分析服务器该团队 “杀猪盘” 发送消息“收网”的时间为2025-02-11 19:16看来是这个时间 2024-03-15 16:1440. 请综合分析警方未抓获的重要嫌疑人其使用聊天平台时注册邮箱号为laosu.com41. 分析 openwrt 镜像该系统的主机名为打开虚拟机就是 iStoreOS平台上的42.分析 openwrt 镜像该系统的内核版本为输入 uname -r平台43. 分析 openwrt 镜像该静态 ip 地址为这些 ip 问题最好在 pc 上面找保证一定是对的。192.168.8.5自己虚拟机可能会有一些配置问题导致 ip 不一样。像我这个我输入 ip addr出来就是 192.168.8.128 就是不对的后面登上平台显示 192.168.8.5.44. 分析 openwrt 镜像所用网卡的名称为给了上一题的图问了 ai给了我一个表格。应该就是 br-lan网卡名称类型/状态IP地址说明br-lan桥接接口 (UP)192.168.8.128/24通常用于 OpenWrt 的LAN 口连接局域网设备dockerθDocker 桥接接口 (UP)172.17.0.1/16Docker默认桥接网络用于容器间通信veth1f887d5if15虚拟以太网对 (UP)无IPDocker容器与宿主机通信用的虚拟网卡teq1θ流量控制队列 (DOWN)无通常用于负载均衡当前未启用link/void未连接/虚拟接口无可能是占位或未配置的接口但是不对登上网站试试访问 192.168.8.128(我这里是这个不一定)密码 hl7001(来自计算机第 17 题)eth045. 分析 openwrt 镜像该系统中装的 docker 的版本号为20.10.2246. 分析 openwrt 镜像nastools 的配置文件路径为/root/Configs/NasTools47. 分析 openwrt 镜像使用的 vpn 代理软件为pqsswall248. 分析 openwrt 镜像vpn 实际有多少个可用节点54 不对53 个节点” ≠ “可用节点”一个“VPN 节点”在系统中可能只是配置项比如 IP、端口、协议、密码等只有当它能通过网络连通并成功建立隧道时才叫“可用节点”49.分析 openwrt 镜像节点 socks 的监听端口是多少107050. 分析 openwrt 镜像vpn 的订阅链接是服务的节点订阅编辑https://pqjc.site/api/v1/client/subscribe?token243d7bf31ca985f8d496ce078333196a计算机取证1. 分析技术员赵某的 windows 镜像并计算赵某计算机的原始镜像的 SHA1 值为计算 sha1FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD62. 分析技术员赵某的 windows 镜像疑似 VeraCrypt 加密容器的文件的 SHA1 值为一般这些都在用户痕迹里面可以找到很重要的一个分析很明显这个 2024.fic 就是文件系统搜索一下右键哈希B25E2804B586394778C800D410ED7BCDC05A19C83. 据赵某供述他会将常用的密码放置在一个文档内分析技术员赵某的 windows 镜像找到技术员赵某的密码字典并计算该文件的 SHA1 值文档E6EB3D28C53E903A71880961ABB553EF090890074. 据赵某供述他将加密容器的密码隐写在一张图片内隐写在图片中的容器密码是在文档隐写那就先用 010 打开翻到最后面qwerasdfzxcv5. 分析技术员赵某的 windows 镜像bitlocker 的恢复密钥是什么将 2024fic 挂载在里面发现了恢复密钥404052-011088-453090-291500-377751-349536-330429-2572356. 分析技术员赵某的 windows 镜像bitlocker 分区的起始扇区数是点击分区详情1467944967. 分析技术员赵某的 windows 镜像默认的浏览器是Chrome8. 分析技术员赵某的 windows 镜像私有聊天服务器的密码为在 2024fic 里面Zhao9. 分析技术员赵某的 windows 镜像嫌疑人计算机中有疑似使用 AI 技术生成的进行赌博宣传的图片该图片中宣传的赌博网站地址为第三个照片www.585975.com10.分析技术员赵某的 windows 镜像赵某使用的 AI 换脸工具名称为在 D 盘找到这个感觉是打开看看roop11. 分析技术员赵某的 windows 镜像使用 AI 换脸功能生成了一张图片该图片的名称为看到了这个长得像某明星 db.jpg12. 分析技术员赵某的 windows 镜像ai 换脸生成图片的参数中 --similar-face-distance 值为0.8513. 分析技术员赵某的 windows 镜像嫌疑人使用 AI 换脸功能所使用的原始图片名称为怀疑是 dst01.jpeg终端历史记录确定了14. 分析技术员赵某的 windows 镜像赵某与李某沟通中提到的 “二维码” 解密所用的网站 url 地址为http://hi.pcmoe.net/buddha.html15. 分析技术员赵某的 windows 镜像赵某架设聊天服务器的原始 IP 地址为192.168.8.17或者在上一题的图片中也可以看到16. 分析技术员赵某的 windows 镜像据赵某交代其在窝点中直接操作服务器进行部署环境搭建好了之后使用个人计算机登录聊天室进行沟通请分析赵某第一次访问聊天室的时间为2024-03-14 20:32:0817. 分析技术员赵某的 windows 镜像openwrt 的后台管理密码是只可能是这个了 hl700118. 分析技术员赵某的 windows 镜像嫌疑人可能使用什么云来进行文件存储往下再翻一翻易有云19. 分析技术员赵某的 windows 镜像工资表密码是多少找不到密码应该是要爆破用 passwarekit双击不行用这个在安装程序目录下的终端输入 msiexec /package PasswareKitForensic_Setup.msi只找到一个名单.xslx在本地打开拖到 passware 里面,选择自定义设置右下角删除所有左下角添加字典打开字典管理器左下角选择从文件编译选择你新建的 txt(有 commonpwd.txt 密码的),勾选保持顺序下一步完成选择那个字典直接点击修复就开始攻击了aa12345620. 分析技术员赵某的 windows 镜像张伟的工资是多少28300
