2023首届盘古石杯晋级赛复盘

晋级赛通排61,学生组39,折在大小写格式上的题太多了qaq

容器密码:usy1UN2Mmgram&^d?0E5r9myrk!cmJGr

Android程序分析

1.涉案应用刷刷樂的签名序列号是(答案格式:123ca12a)(★☆☆☆☆)

11fcf899

雷电APP跑的时候前面加了0x

2.涉案应用刷刷樂是否包含读取短信权限(答案格式:是/否)(★★☆☆☆)

3.涉案应用刷刷樂打包封装的调证ID值是(答案格式:123ca12a)(★★☆☆☆)

a6021386163125

4.涉案应用刷刷樂服务器地址域名是(答案格式:axa.baidun.com)(★★★☆☆)

vip.shuadan.com

5.涉案应用刷刷樂是否存在录音行为(答案格式:是/否)(★★★☆☆)

雷电APP跑不出来录音权限

6.涉案应用未来资产的包名是(答案格式:axa.baidun.com)(★☆☆☆☆)

plus.h5ce4b30d

7.涉案应用未来资产的语音识别服务的调证key值是(答案格式:1ca2jc)(★★☆☆☆)

53feacdd

8.涉案应用未来资产的服务器地址域名是(答案格式:axa.baidun.com)(★★★☆☆)

vip.usdtre.club

9.涉案应用未来资产的打包封装的调证ID值是是(答案格式:axa.baidun.com)(★★☆☆☆)

h5ce4b30d

移动智能终端取证

容恨寒安卓手机

1.根据容恨寒的安卓手机分析,手机的蓝牙物理地址是(答案格式:B9:8B:35:8B:03:52)(★☆☆☆☆)

A9:8B:34:8B:04:50

2.根据容恨寒的安卓手机分析,SIM卡的ICCID是(答案格式:80891103212348510720)(★☆☆☆☆)

89014103211118510720

3.根据容恨寒的安卓手机分析,团队内部沟通的聊天工具程序名称是(答案格式:微信)(★☆☆☆☆)

Potato

4.根据容恨寒的安卓手机分析,团队内部沟通容恨寒收到的最后一条聊天信息内容是(答案格式:好的)(★★★☆☆)

后面再给你们搞

找potato的数据库,在data里面找到应用对应的数据库文件,盘古石直接导出的db居然是空的

把坚果解压后在文件夹里面找,navicat查看,这个里面的数据存在

把内容保存出来,全部base64解密

import base64
a=open('C:\\Users\\五五六六\\Desktop\\1.txt', 'r', encoding='UTF-8')
b=open('C:\\Users\\五五六六\\Desktop\\12.txt', 'w', encoding='UTF-8')listOfLines  =  a.readlines()
for  line in  listOfLines:c=line.strip()d=base64.b64decode(c).decode('utf-8')b.write(d+'\n')a.close()
b.close()

题目说的是“容恨寒收到的最后一条聊天信息”,对应TONAME,就是倒数第三行“后面再给你们搞”

5.根据容恨寒的安卓手机分析,收到的刷单.rar的MD5值是(答案格式:

202cb962ac59075b964b07152d234b70)(★★☆☆☆)

dc52d8225fd328c592841cb1c3cd1761

6.根据容恨寒的安卓手机分析,收到的刷单.rar的解压密码是(答案格式:abcdg@1234@hd)(★★★☆☆)

wlzhg@3903@xn

聊天记录里有密码规则

wlzhg@3903@xn成功

7.根据容恨寒的安卓手机分析,发送刷单.rar的用户的手机号是(答案格式:15137321234)(★★★★☆)

15137326185

把body这一列解密

找到刷单.rar

对应的就是这一行,德彦慧

找到

8.根据容恨寒的安卓手机分析,发送多个报表的用户来自哪个部门(答案格式:理财部)(★★★★★)

技术部

这些全是报表

来自臧觅风

臧觅风的id是229

229的部门id是109

109是技术部

9.根据容恨寒的安卓手机分析,MAC的开机密码是(答案格式:asdcz)(★☆☆☆☆)

apple

10.根据容恨寒的安卓手机分析,苹果手机的备份密码前4位是(答案格式:1234)(★☆☆☆☆)

1976

魏文茵苹果手机

11.根据魏文茵苹果手机分析,IMEI号是?(答案格式:239471000325479)(★☆☆☆☆)

358360063200634

12.根据魏文茵苹果手机分析,可能使用过的电话号码不包括?(答案格式:13527821339)(★☆☆☆☆)

A:18043618705 B:19212175391

C:19212159177 D:18200532661

D

AC在苹果手机里

B在安卓手机里

臧觅风的安卓手机

13.根据臧觅风的安卓手机分析,微信ID是(答案格式:wxid_av7b3jbaaht123)(★☆☆☆☆)

wxid_kr7b3jbooht322

14.根据臧觅风的安卓手机分析,在哪里使用过交友软件(答案格式:杭州)(★★★☆☆)

西安

15.根据臧觅风的安卓手机分析,嫌疑人从哪个用户购买的源码,请给出出售源码方的账号(答案格式:1234524229)(★☆☆☆☆)

5768224669

16.根据臧觅风的安卓手机分析,购买源码花了多少BTC?(答案格式:1.21)(★☆☆☆☆)

0.08

17.根据臧觅风的安卓手机分析,接收源码的邮箱是(答案格式:asdasd666@hotmail.com)(★☆☆☆☆)

molihuacha007@hotmail.com

容恨寒苹果手机

在容恨寒的电脑中有一个手机备份

18.嫌疑人容恨寒苹果手机的IMEI是?(答案格式:2000-01-01)(★★☆☆☆)

353271073008914

19.嫌疑人容恨寒苹果手机最后备份时间是?(答案格式:2000-01-01 13:36:25)(★★☆☆☆)

2023-04-12 21:20:59

20.嫌疑人容恨寒苹果手机“易信”的唯一标识符(UUID)?(答案格式:2000-01-01)(★★★★☆)

00A6A0C7-AD52-4FC2-9064-6D7BE58DBCE6

21.嫌疑人容恨寒苹果手机微信ID是?(答案格式:2000-01-01)(★☆☆☆☆)

04:52:C7:FD:2C:64

这个微信ID,我得到的答案和官方不一样,很奇怪,不知道在哪找的

计算机取证

魏文茵计算机

1.嫌疑人魏文茵计算机的操作系统版本?(答案格式:Windows 7 Ultimate 8603)(★☆☆☆☆)

Windows 10 Professional 14393

2.嫌疑人魏文茵计算机默认的浏览器是?(答案格式:Internet Explorer)(★☆☆☆☆)

A:Edge B:Internet Explorer C:Google ChromeD:360浏览器

C

3.嫌疑人魏文茵计算机中以下那个文档不是嫌疑人最近打开过的文档?(答案格式:D)(★☆☆☆☆)

A:掠夺攻略.docx B:工资表.xlsx C:刷单秘籍.docx

D:脚本.docx

A

4.嫌疑人魏文茵计算机中存在几个加密分区?(答案格式:3个)(★★☆☆☆)

1个

5.嫌疑人魏文茵计算机中安装了哪个第三方加密容器?(答案格式:VeraCrypt))(★☆☆☆☆)

TrueCrypt

6.接上题,嫌疑人魏文茵计算机中加密容器加密后的容器文件路径?(答案格式:C:\xxx\xxx)(★★☆☆☆)

C:\Users\WH\Documents

7.嫌疑人魏文茵计算机中磁盘分区BitLocker加密恢复秘钥为?(答案格式: 000000-000000-000000-000000-000000-000000-000000-000000))(★★★☆☆)

000649-583407-395868-441210-589776-038698-479083-651618

8.嫌疑人魏文茵计算机中BitLocker加密分区中“攻略.docx”文档里涉及多少种诈骗方式?(答案格式:11)(★☆☆☆☆)

38

9.投资理财团伙“华中组”目前诈骗收益大约多少?(答案格式:10万)(★★☆☆☆)

100万

魏文茵计算机内存

10.通过对嫌疑人魏文茵计算机内存分析,print.exe的PID是?(答案格式:123)(★★☆☆☆)

728

不得不说它是真快

臧觅风计算机

半年收益

lima要的马

11.根据臧觅风的计算机分析,请给出技术人员计算机“zang.E01”的SHA-1?(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)(★☆☆☆☆)

239F39E353358584691790DDA5FF49BAA07CFDBB

问的是镜像的SHA-1:239F39E353358584691790DDA5FF49BAA07CFDBB,不是检材的SHA-1

12.根据臧觅风的计算机分析,请给出该技术人员计算机“zang.E01”的总扇区数?(答案格式:100,000,000)(★★☆☆☆)

536,870,912

13.根据臧觅风的计算机分析,以下那个文件不是技术人员通过浏览器下载的?(答案格式:A)(★☆☆☆☆)

A.WeChatSetup.exe

B.aDrive.exe

C.Potato_Desktop2.37.zip

D.BaiduNetdisk_7.27.0.5.exe

D

14.根据臧觅风的计算机分析,请给出该技术人员邮件附件“好东西.zip”解压密码?(答案格式:abc123)(★★★★★)

kangshifu0008

开个代理,把附件下载下来

是网站的源码,和刷单+客服

聊天记录里有相关信息,密码是他邮箱,即kangshifu0008@gmail.com

直接解压不正确,应该是没有后缀,密码的信息存储在TC容器里面,相关分析在后面第19题

15.根据臧觅风的计算机分析,该技术人员电脑内曾通过远程管理工具连接过服务器“master.k8s.com”,请给出连接的端口号?(答案格式:22)(★★☆☆☆)

2282

仿真后SecureCRT里

16.根据臧觅风的计算机分析,接上题,请给出服务器的密码?(答案格式:password(★★★★☆)

P@ssw0rd

17.根据臧觅风的计算机分析,据该技术人员交代,其电脑内有个保存各种密码的txt文件,请找出该文件,计算其MD5值?(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)(★★★★★)

C1934045C3348EA1BA618279AAC38C67

passwords.txt

18.根据臧觅风的计算机分析,该技术人员曾使用过加密容器反取证技术,请给出该容器挂载的盘符?(答案格式:A)(★☆☆☆☆)

F

19.根据臧觅风的计算机分析,请给出该技术人员电脑内keePass的Master Password?(答案格式:password12#)(★★★★☆)

xiaozang123!@#

加密容器,5个G的资料,容器应该就是他

efdd解密

我的efdd不能直接装载,只能将加密容器解密后另存一个镜像文件了

用FTK挂载在本地F盘

成功

里面的新建文本文档就是密码

keepass是密码管理工具,用上图密码打开keepass,得到一些密码

用TC的密码加载名为资料的容器Zang!@#123

里面是这些,tor浏览器指向暗网

20.根据臧觅风的计算机分析,请给出该技术人员所使用的爬虫工具名称?(答案格式:xxx)(★★☆☆☆)

后羿采集器

21.根据臧觅风的计算机分析,接上题,该技术人员通过该采集器一共采集了多少条人员信息数据?[答案格式:10,000][★★★★★]

19,224

官方答案是19,225,不知道差一个在哪

之前在容恨寒手机看到里面有数据,potato

找到,导出

中国证券100

人员信息17

深圳市住房和建设18970

仓山市96

清华大学29

邹平市人民政府12

22.根据臧觅风的计算机分析,以下那个不是该技术人员通过爬虫工具采集的数据?(答案格式:A)(★☆☆☆☆)

A.中国证券投资基金业协人员信息

B.仓山区市场监督管理局行政执法人员信息

C.清平镇卫生院基本公共卫生服务

D.仓山区市场监督管理局行政执法人员信息

C

23.根据臧觅风的计算机分析,该嫌疑人曾浏览过“阿里云WebDAV”,请给出该“阿里云WebDAV”端口号?(答案格式:2211)(★★☆☆☆)

8080

接后面的软路由分析

24.根据臧觅风的计算机分析,请给出该技术人员电脑内代理软件所使用的端口号?(答案格式:2211)(★★☆☆☆)

7890

25.根据臧觅风的计算机分析,接上题,请给出该代理软件内订阅链接的token?(答案格式:abc1234df334…)(★★☆☆☆)

d4029286acc8bfd97818d5f8724f0f0a

26.根据臧觅风的计算机分析,请给出该技术人员电脑内用于内部通联工具的地址和端口?(答案格式:www.baidu.com:1122)(★★★☆☆)

im.pgscup.com:6661

potato双击

臧觅风计算机内存

27.根据臧觅风的计算机分析,请给出该电脑内存镜像创建的时间(北京时间)?(答案格式:2023-05-06 14:00:00)(★☆☆☆☆)

2023-04-27 17:57:53

北京时间UTC+8

28.根据臧觅风的计算机分析,以下那个不是“chrone.exe”的动态链接库?(答案格式:A)(★★★★☆)

A.ntdll.dll

B.iertutil.dll

C.wow64cpu.dll

D.wow64win.dll

B

29.根据臧觅风的计算机分析,请给出“\REGISTRY\MACHINE\SYSTEM”在内存镜像中的虚拟地址是多少?(答案格式:0xxxxx123…)(★★☆☆☆)

0xffffab861963e000

30.根据臧觅风的计算机分析,据嫌疑人交代,其电脑上曾存打开过一个名为“账号信息.docx”的文档,请给出该文档的最后访问时间(北京时间)?(答案格式:2023-05-06 14:00:00)(★★★★☆)

2023-04-27 17:55:32

31.根据臧觅风的计算机分析,接上题,请给出该文档的存储路径?(答案格式:C:\xxx\xxx)(★★★☆☆)

D:\backup\mydata

容恨寒苹果电脑

密码是apple

32.嫌疑人容恨寒苹果电脑的系统版本名称是?(答案格式:注意大小写)(★☆☆☆☆)

macos 12.6

33.嫌疑人容恨寒苹果电脑操作系统安装日期是?(答案格式:2000-01-01)(★★☆☆☆)

2022-10-09

34.嫌疑人容恨寒苹果电脑的内核版本是?(答案格式:xxxxx 11.0.4,注意大小写)(★☆☆☆☆)

Darwin Kernel Version 21.6.0

uname -a

35.嫌疑人容恨寒苹果电脑有多少正在运行的后台程序?(答案格式:20)(★★☆☆☆)

10

不确定,参考(3条消息) 【全网首发最全】首届盘古石杯全国电子数据取证大赛晋级赛write up 2023年奇安信取证比赛 高清截图_奇乃正的博客-CSDN博客

官方答案给的是1,不知道

36.嫌疑人容恨寒苹果电脑最后一次关机时间(GMT)?(答案格式:2000-01-01 01:00:09)(★★☆☆☆)

2023-04-14 07:55:50

last | grep shutdown,2023-04-14 15:55,精确到秒用盘古石计算机跑,但我的一跑就闪退哭死

GMT,还得-8

37.嫌疑人容恨寒苹果电脑执行过多少次查询主机名称命令?(答案格式:20)(★★★☆☆)

15

只有hostname,hostnamectl是修改主机名,单独使用无回显

38.从嫌疑人容恨寒苹果电脑中找出“陆文杰”提现金额是?(答案格式:20)(★★★★☆)

70.8

桌面上华南分区流水是一个rar压缩包,加密的,根据之前的规则解密,wlzhg@????@xn,破不出来,最后看奇乃正的wp发现其实不是xn而是hn,最终爆破出来密码是wlzhg@3698@hn,这一点真的很离谱,感觉是个bug

解压后里面有三个文件

华南区中有金额和最新金额,明显第3行和第5行的最新金额大于金额,所以应该是一个是旧体现一个是新提现,最后全部金额相加

39.从嫌疑人容恨寒苹果电脑中找出嫌疑人容恨寒上午上班时长是?(答案格式:8小时)(★★★★☆)

2.5小时

40.从嫌疑人容恨寒苹果电脑中找出“万便”的邮箱是?(答案格式:xxx@xxx.xx)(★★★★☆)

IxCnq3@yDp.net

41.通过分析得出嫌疑人容恨寒小孩的年龄是?(答案格式:10岁)(★★★☆☆)

13岁或者14岁

官方给的答案是6岁,不知道

八年级奥数测试

二进制文件分析

1.根据魏文茵的计算机分析,恶意程序加了什么类型的壳(答案:asdcz)(★★☆☆☆)

upx

查看最近打开的应用

把不确定的几个exe全问一遍,只有print.exe可疑

在虚拟机中找到他

就是他

查壳

2.根据魏文茵的计算机分析,恶意程序调用了几个dll(答案:1)(★★★☆☆)

5

3.根据魏文茵的计算机分析,恶意程序中send函数被多少个函数调用(答案:1)(★★★☆☆)

6

upx脱壳

再次查壳就没有了

ida分析,找到send函数,双击跳转

把光标放在send函数上,点击X键,或者点击view - open subviews - cross references,就会显示出交叉引用的函数挡xrefs to

6个

或者绘图,view - graphs - xrefs to,绘图更直观感觉

4.根据魏文茵的计算机分析,恶意程序远控端ip(答案:120.1.2.3)(★★☆☆☆)

192.168.8.110

main函数F5

5.根据魏文茵的计算机分析,恶意程序远控端端口(答案:123)(★★☆☆☆)

6096

大圣沙箱牛逼大圣云沙箱检测系统 (vulbox.com)

奇安信牛逼

6.根据魏文茵的计算机分析,恶意程序用到是tcp还是udp(★★★☆☆)

A.tcp

B.udp

A

把main函数的伪代码用chatgpt查询一下

显示是TCP连接

7.根据魏文茵的计算机分析,恶意程序能执行几条命令(答案:123)(★★★★☆)

5

8.根据魏文茵的计算机分析,恶意程序加密电脑文件对应是哪个命令(答案:1a)(★★★☆☆)

6s

main函数

看下一题加密函数是sub_45EF40,可以推测出哪个命令调用的函数指向sub_45EF40,哪个命令就是

6s对应的sub_45B4B7,双击跳转到sub_460410

再跳转到 sub_45978E();

再跳转到sub_45FE10

再跳转到sub_4586E0、sub_458555

sub_4586E0双击跳转到sub_45EF40

跳转到sub_45EF40,到达加密文件函数,命令就是6s

9.(多选题)根据魏文茵的计算机分析,恶意程序加密哪些后缀文件(★★★☆☆)

A.docx

B.xlsx

C.pdf

D.doc

ABCD

strings窗口搜索xlsx

双击跳转,指向的函数是sub_45EF40

在function窗口中搜索这个函数,之后F5

代码

10.根据魏文茵的计算机分析,编写该程序电脑的用户名是(答案:12345)(★★★★★)

22383

11.嫌疑人魏文茵计算机中“工资表.xlsx”中,发放工资总金额为:(答案格式:12345))(★★★★★)

44300

暗网取证

分析:计算机取证第19题

1.臧觅风电脑使用暗网浏览器版本是?(答案格式:10.0.0)(★☆☆☆☆)

12.0.4

根据快捷方式打开暗网浏览器

2.臧觅风电脑使用的暗网浏览器历史记录中最多浏览内容是?(答案格式:制作)(★★☆☆☆)

比特币市场

浏览器历史,直接用火眼-添加物理磁盘,分析TC挂载上的盘得了

3.臧觅风电脑使用的暗网网浏览器书签“社工库”添加的时间是?(答案格式:2000-01-01 01:00:09)(★★★★☆)

2022-05-27 21:49:33

4.臧觅风电脑使用的暗网浏览器第一次使用时间是?(答案格式:2000-01-01 01:00:09)(★★★☆☆)

2023-04-12 10:19:06

5.臧觅风电脑使用的暗网浏览器扩展应用中“ftp.js”文件的md5值是?(答案格式:字母小写)(★★★★★)

ea86403d1de3089b3d32fe5706d552f6

插件安装在"G:\Tor Browser\Tor Browser\Browser\TorBrowser\Data\Browser\profile.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi"

直接解压xpi,在"G:\Tor Browser\Tor Browser\Browser\TorBrowser\Data\Browser\profile.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}\content\ftp.js"

物联取证

1.请给出该软路由管理的IP地址?(答案格式:192.168.1.1)(★☆☆☆☆)

192.168.8.20

仿真

2.请给出该软路由管理员的密码?(答案格式:admin123!@#)(★★★☆☆)

P@ssw0rd

计算机取证16题P@ssw0rd

【笔记】openwrt - 分析web首页(/cgi-bin/luci)访问流程:nginx、uWSGI、lua_openwrt nginx_骆言的博客-CSDN博客

改了一下本地网络,使其在同一网段内

访问192.168.8.20/cgi-bin/luci,后面加上openwrt的web首页

用户名是root,密码是P@ssw0rd,成功登录

3.请给出阿里云WebDAV的token?(答案格式:bac123sasdew3212…)(★★☆☆☆)

afc455bdc29a45b18f3bae5048971e76

4.请给出该软路由所用机场订阅的token?(答案格式:bac123sasdew3212…)(★★☆☆☆)

502f6affe3c7deb071d65fb43effc06d

ShadowSocksR Plus+

5.请给出该软路由数据卷的UUID?(答案格式:8adn28hd-00c0c0c0…)(★★☆☆☆)

9a89a5ec-dae6-488a-84bf-80a67388ff37

或者使用blkid命令查看分区idOpenWrt软路由空间扩容_openwrt 扩容_ls0111的博客-CSDN博客

6.请给出该软路由的共享路径?(答案格式:/home/data)(★★☆☆☆)

/mnt/data

SMB(Server Messages Block)协议:实现局域网内文件或打印机等资源共享服务的协议。Samba服务程序是一款基于SMB协议并由服务端和客户端组成的开源文件共享软件,实现了Linux与Windows系统间的文件共享。

查看samba配置文件

服务-网络共享也能看到

服务器取证

分析

打开文件管理器,没启动,启动一下

默认的用户名和密码是admin、admin,进去了

在上题的共享文件路径/mnt/data中找到了IM文件夹

打开是虚拟机文件,全部下载下来

用盘古石仿真一下

进去了,但是缺失很多东西

直接启动vmx文件,发现密码,这玩意是个vc加密的vmx,找密码

在Windows Server 2019-000003.vmdk最近访问的项目中发现txt痕迹,发现密码123w.pgscup.com

输入123w.pgscup.com、P@ssw0rd,进去了,数据没丢

1.请给出IM服务器的当前Build版本?(答案格式:11111)(★☆☆☆☆)

17763

systeminfo

2.请给出IM聊天服务的启动密码?(答案格式:3w.Baidu.com)(★★★★★)

123w.pgscup.com

见分析

3.请给出该聊天服务器所用的PHP版本?(答案格式:7.2.5)(★★★★☆)

7.4.32

4.请给出该服务器所用的数据库类型及版本?(答案格式:mysql 5.7.1)(★★★★★)

mysql 10.4.12

直接搜mysql.exe

5.请给出该服务器MySQL数据库root账号的密码?(答案格式:3w.baidu.com)(★★★★★)

www.upsoft01.com

桌面上有个IM管理台,是个网站

不知道用户名和密码

打开所在文件夹

拖出来直接搜config.php,快多了

6.请给该IM服务器内当前企业所使用的数据库?(答案格式:admin_admin)(★★★★☆)

antdbms_usdtreclub

先启动一下mysql

输入上题得到的用户名密码进入mysql,有两个数据库

先看上题指向的数据库名antdbms,输入用户名root和密码www.upsoft01.com,进入查找网站的用户名和密码,密码解不出来,改密码,看密码长度是32位小写

123md5(32位小写)加密是202cb962ac59075b964b07152d234b70

update sys_admin set USER_PWD="202cb962ac59075b964b07152d234b70" where USERR_ID=1;

admin,123登进去了

找到企业所使用的数据库antdbms_usdtreclub

7.请给出该组织“usdtreclub”内共有多少个部门(不含分区)?(答案格式:1)(★★★☆☆)

5

potato的数据库里面

登录上网站后台后能直接看

8.客户端消息传输采用哪种加密形式?(答案格式:A)(★★☆☆☆)

A.AES128

B.AES256

C.DES

D.Base64

B

唯一的一个企业,点击控制台

要登录,用户名有了现在要找密码

在网站架构中找密码,找到了md5值,解不开c37bd328f1e928eb4c74703d444895bf,付费记录,只能修改密码了

想用navicat连接mysql,虚拟机改为nat,防火墙改掉,双向都能ping通了

连接企业用的数据库antdbms_usdtreclub,用navicat连接死活连不上,网探还得是你啊(记得开启虚拟机的远程连接功能,在系统属性里面)

老样子,改成123,md5是202cb962ac59075b964b07152d234b70

进去了,顺便把其他管理员的密码也改了,都改成123,不同权限的管理员能看到的内容应该不一样

客户端,消息传输,AES256

9.以下那个不是此系统提供的应用?(答案格式:A)(★★☆☆☆)

A.云盘

B.审批

C.会议

D.考勤

D

后台也能看出来

10.请给出“ 2023-04-11 21:48:14”登录成功此系统的用户设备MAC地址?(答案格式:08-AA-33-DF-1A)(★★★☆☆)

80-B6-55-EF-90-8E

登录超级管理员,查找登录日志

11.请给出用户“卢正文”的手机号码?(答案格式:13888888888)(★★★★☆)

13580912153

集群服务器取证

分析

三个镜像一个一个仿真

server01:192.168.91.171

server02:192.168.91.172

server03:192.168.91.173

三个的关系是一个master,两个node

火眼跑一下发现还有一个网卡是ens34,192.168.8.171,进去./etc/sysconfig/network-scripts查看,每一个虚拟机都是两张网卡,ens33和ens34

192.168.91.171和192.168.8.171,同一网段内,更改ifcfg-ens33、ifcfg-ens34网卡的网关为192.168.0.1,子网掩码为16,更改虚拟网络编辑器

添加第二张网卡

ip a查看发现新添加的网卡为ens36

更改ens34网卡名称为ens36,最终效果是

三个虚拟机均这样更改,更改后,三台虚拟机和主机均能相互ping通

使用xshell连接三台虚拟机,server01的ssh端口号是2282,server02和server03的还是22,仿真时直接把密码清除了,使用passwd命令再加个密码就行

查看历史命令发现还需挂载一下,通过nfs将master的www挂载到本地www,两个node都需要

192.168.8.171现在是192.168.128.0

mount通过NFS挂载_mount nfs_田小呱的博客-CSDN博客

kubectl get nodes -o wide查看节点信息

kubectl get pods --all-namespaces查看所有名称空间的pods

1.请给出集群master节点的内核版本?(答案格式:2.6.0-104.e11.x86_64)(★☆☆☆☆)

3.10.0-957.el7.x86_64

2.请给出该集群的pod网络?(答案格式:192.168.0.0/24)(★★★★☆)

10.244.0.0/16

kubectl get configmap kubeadm-config -n kube-system -o yaml

查看当前k8s集群中 pod 和 service 网段信息

3.请给出该集群所用的网络插件?(答案格式:abcd)(★★☆☆☆)

calico

网络插件有

k8s入坑之路(9)k8s网络插件详解 - 大辉哥 - 博客园 (cnblogs.com)

kubectl get pod --all-namespaces查看所有名称空间的pods

4.默认ns除外,本集群共有多少个ns?(答案格式:1)(★★★☆☆)

8

kubectl get namespaces查看所有namespace

5.请给出该集群的集群IP?(答案格式:192.168.0.0)(★★☆☆☆)

192.168.91.171

kubectl cluster-info 查看集群信息

6.请给出该ns为“licai”svc为“php-svc”的访问类型?(答案格式:Abc)(★★☆☆☆)

NodePort

kubectl get services --all-namespaces查看所有服务

7.请给出ns为“shuadan”下的的PHP版本?(答案格式:1.1)(★★★★★)

7.2

查看所有命名空间中的pods:kubectl get pods -A

查看shuadan下的pod:kubectl get pods --namespace=shuadan

kubectl describe pod php-deploy-7d9648677d-dbm66 --namespace=shuadan

输出指定资源的详细信息

过滤php更快,kubectl describe pod php-deploy-7d9648677d-dbm66 --namespace=shuadan | grep php

8.请给出本机集群所使用的私有仓库地址?(答案格式:192.168.0.0)(★★★★☆)

192.168.8.12

Kubernetes 集群所使用的私有仓库地址通常存储在集群中的 Secret 中,可以通过以下步骤查看:

在终端中登录到 Kubernetes 集群的控制节点。

运行以下命令查看已经存在的 Secret:

kubectl get secrets

找到名为 imagepullsecret(或其他自定义名称)的 Secret,运行以下命令查看其详细信息:

kubectl describe secret imagepullsecret

在输出结果中,找到 dockerconfigjson 字段,其中包含了私有仓库的地址、用户名和密码等信息。可以将其解码后查看:

kubectl get secret imagepullsecret -o jsonpath="{.data.\.dockerconfigjson}" | base64 --decode

若在 Windows 系统上执行以上命令,可以使用 PowerShell 代替 base64 命令:

kubectl get secret imagepullsecret -o jsonpath="{.data.\.dockerconfigjson}" | %{[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($_))}

解码后的输出结果为一个 JSON 字符串,其中包含了所使用的私有仓库地址。

9.接上题,请给出登录该私有仓库所用的token?(答案格式:bae213ionada21…)(★★★★★)

dXNlcjozVy5wZ3NjdXAuY29t

见上题,解密是user:3W.pgscup.com

10.请给出“licaisite”持久化存储的大小?(答案格式:10G)(★★☆☆☆)

6G

licaisite-pvc查看持久化存储

11.接上题,请给出对应的存储持久化声明名称?(答案格式:abc-abc)(★★★☆☆)

licaisite-pvc

kubectl describe pv licaisite查看持久化存储详细信息

12.请给出集群内部署网站所使用数据库的IP地址和端口号?(答案格式:192.168.0.0:8080)(★★★☆☆)

61.150.31.142:3306

数据库在./www下面

直接通过xshell连接xftp

直接把www文件夹拖出来,查看数据库配置文件

kefu是61.150.31.142:3306

licai也是61.150.31.142:3306

刷单也是61.150.31.142:3306,具体解密过程见14题

13.请给出网站“vip.kefu.com”所使用的端口号?(答案格式:8080)(★★☆☆☆)

8083

14.请给出网站“vip.shuadan.com”连接数据库所使用的账号和密码?(答案格式root/password)(★★★★★)

vip.shuadan.com/nFRrSNh6Msnbtpay

打开其database.php配置文件,发现不对劲,应该是加密了的

eval改为echo,打印前面的部分,发现后面的部分是base64加密了的

解密后再次eval改为echo打印

解密成功

​?><?php// +----------------------------------------------------------------------// | ThinkAdmin// +----------------------------------------------------------------------// | 版权所有 2014~2019 广州楚才信息科技有限公司 [ http://www.cuci.cc ]// +----------------------------------------------------------------------// | 官方网站: http://demo.thinkadmin.top// +----------------------------------------------------------------------// | 开源协议 ( https://mit-license.org )// +----------------------------------------------------------------------// | gitee 开源项目:ThinkAdmin: 基于 ThinkPHP6 的极简后台管理系统,内置注解权限、异步多任务、应用插件生态等,支持类 PaaS 更新公共模块和应用插件,插件可本地化定制开发。// | github开源项目:GitHub - zoujingli/ThinkAdmin: 基于 ThinkPHP6 的极简后台管理系统,内置注解权限、异步多任务、应用插件生态等,支持类 PaaS 更新公共模块和应用插件,插件可本地化定制开发。// +----------------------------------------------------------------------return [// 数据库调试模式'debug' => true,// 数据库类型'type' => 'mysql',// 服务器地址'hostname' => '61.150.31.142',// 'hostname' => '127.0.0.1',// 数据库名'database' => 'vip.shuadan.com',// 用户名'username' => 'vip.shuadan.com',// 密码'password' => 'nFRrSNh6Msnbtpay',// 编码'charset' => 'utf8mb4',// 端口'hostport' => '3306',// 主从'deploy' => 0,// 分离'rw_separate' => false,];​

数据库

数据库/data.tar

15.请给出调证数据库的版本号?(答案格式5.7.1)(★★★★★)

5.6.50

16.请给出刷单网站客服域名?(答案格式:http://www.baidu.com:8080/login.html)(★★★★★)

vip.kefu.com

shuadan网站重构

数据库是data文件夹,网站源码就是www文件夹

配置数据库

启动mysql,5.7.26

把启动的mysql下的data文件夹整个替换掉

跳过密码

配置网站

新建网站vip.shuadan.com,php是5.6.9

替换源代码

网站根目录是public,图标都在public里面

伪静态配置(3条消息) 服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛_Grignard_的博客-CSDN博客

apache的伪静态

<IfModule mod_rewrite.c>
Options +FollowSymlinks -Multiviews
RewriteEngine onRewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php?/$1 [QSA,PT,L]
</IfModule>

nginx的伪静态

   if (!-e $request_filename) {
rewrite ^(.*)$ /index.php?s=/$1 last;
break;
}

更改database配置文件,更改服务器地址和用户名

访问网站

vip.shuadan.com:80

kefu网站重构

配置网站

php5.6.9,端口是8083

伪静态

网站根目录是public

更改配置文件

到这步应该就访问成功了,但是我的报错啊呜呜呜,不知道哪出错了

licai网站重构

配置网站404,不知道为什么卡在这里,试了好几次,不得其解,放弃

17.请给出理财客服系统用户“admin”共有多少个会话窗口?(答案格式:123)(★★★★★)

8

18.刷单客服是嵌套在刷单源码下那个文件内,请给出该文件在网站源码内的目录和文件名?(答案格式:www.baidu.com:8080/login.html)(★★★★★)

/application/index/view/user/user.html

在刷单个人中心里,admin,123456登录用户

在线客服可以跳转到kefu网站里

根据这个网站搜索

19.请统计出刷单网站后台累计提现成功的金额?(答案格式:1000)(★☆☆☆☆)

7611

后台是/admin_2019

weiliang的密码解出来是123456

20.请给出受害人上级的电话号码?(答案格式:13888888888)(★★★☆☆)

18727164573

21.请给出刷单网站受害人加款的时间(北京时间)?(答案格式:2023-05-06 14:00:00)(★★★☆☆)

2023-04-12 14:57:32

22.该理财网站曾经被挂马,请给出上传木马者的IP?(答案格式:192.168.10.10)(★★★☆☆)

103.177.44.10

扫描整个site目录,在shuadan里面

查看log

23.接上题,请找到此木马,计算该木马的md5?(答案格式:123dadgadad332…)(★★★☆☆)

339c925222a41011ac1a7e55ec408202

24.请统计该投资理财平台累计交易额为多少亿?(答案格式:1.8)(★★☆☆☆)

1.42

25.请给出该虚拟币投资平台内用户“李国斌”的银行卡号?(答案格式:622222222222222)(★★★☆☆)

6212260808001710173

26.分析该虚拟币投资平台财务明细表,用户“13912345678”共支出多少钱(cnc), 结果保留两位小数?(答案格式:10000.00)(★★★★★)

24817.99

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/47203.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于国央企的企业关系大数据洞察分析

国资大数据智能洞察分析系统是利用新兴互联技术、大数据、人工智能与云计算&#xff0c;实现数据挖掘、数据分析与数据展现&#xff0c;以新的表达形式调整或重塑业务模式、流程&#xff0c;以实现数据价值与市场增长。 一、建设国资大数据智能洞察系统的背景 &#xff08;一&…

科大讯飞星火大模型评测:从职场到日常生活,样样精通

文 | 大力财经 今年最热门的话题当属OpenAI发布ChatGPT 3.5版本&#xff0c;全球用户对此纷纷追捧。在国内领域&#xff0c;百度、阿里巴巴、字节跳动、360、腾讯和科大讯飞等厂商纷纷推出大型模型&#xff0c;加入“百模大战”的竞赛。 大模型在自然语言处理领域可以显著提高…

测试 GPT3.5 与 GPT4:哪个模型写的代码更优?

【CSDN 编者按】与 GPT3.5&#xff08;旧的 chatGPT &#xff09;相比&#xff0c;GPT4 在代码生成方面有了很大的进步&#xff0c;但仍存在速度较慢问题。 原文链接&#xff1a;https://wandb.ai/capecape/gpt3vsgpt4/reports/Testing-GTP3-5-vs-GPT4-Which-Model-Writes-Bett…

面试高频关键字

文章目录 前言一、static&#xff1f;1、static修饰全局变量总结&#xff1a; 2、static修饰函数总结&#xff1a; 3、static修饰局部变量总结 二、const&#xff1f;Ⅰ、 const修饰普通变量Ⅱ、 const修饰指针变量Ⅲ、 const修饰函数1、const修饰函数参数2、const 修饰函数返回…

如何通过twitter群推王引流到listing

粉丝经济绝对是亚马逊卖家营销的最佳方式之一。这时卖家要想&#xff0c;我所选产品的目标客户是谁&#xff0c;他们需要什么&#xff1f;这样才能正确分享自己的资源&#xff0c;让粉丝觉得关注你的账号不是浪费时间和精力&#xff0c;而是真正对我有用。 保持在推特上发微博也…

面试直通卡大放送,微软面试官带你揭秘面试潜规则!

最近&#xff0c;很多朋友吐槽工作压力&#xff0c;高薪工作难找&#xff0c;今年中小企业的就业压力比任何一年都大。 7月16日&#xff0c;国家统计局新闻发言人刘爱华在国新办发布会上坦言&#xff0c;2020年上半年城镇新增就业少173万人。 此外&#xff0c;毕业季大学生失业…

网易互联网产品运营管培生面试经历--从群面到终面面试经验分享

一、网申、在线测评 网易刚刚开始2016校招的时候我就去网申了&#xff0c;快9月中旬的时候改了一次志愿顺序。10月8日收到了网易的短信通知&#xff0c;说通过了简历筛选环节&#xff0c;邀请我参加在线测评。 在线测评是一个CBE&#xff08;如果没记错的话&#xff09;的…

独家揭秘:站外引流的十大技巧!

在今天的互联网时代&#xff0c;如何有效地引流已成为网站运营者面临的一个重要问题。 站外引流是指通过在其他网站或平台上建立链接或发布内容&#xff0c;将流量引导到自己的网站&#xff0c;提高自己网站的访问量。 本文将为大家揭秘站外引流的十大技巧&#xff0c;帮助大…

如何高效快速的做私域引流,巨准实操攻略送给你

如今流量越来越贵&#xff0c;获客成本越来越高&#xff0c;现在商家越来越注重私域的精耕&#xff0c;想尽各种办法&#xff0c;把目标客户锁定在自己的微信私域里。 很多人问&#xff1a;那怎样做私域引流&#xff1f;公域为基地扩充私域流量的抓手当今&#xff0c;公、私域…

私域运营4个基本功介绍(引流,内容,工具,方法论)

私域之所以被重视的根本原因是流量模式的改变。品牌也看到了用户的CLV价值&#xff0c;才愿意投入时间和精力去打造属于自己的私域流量“池”。而品牌在搭建属于自己的私域流量“池”时&#xff0c;应该考虑到在私域的“人”。本篇内容作者将为大家说透品牌私域落地的4大基本功…

HTTPS(面试高频必须掌握)

目录 一、HTTPS背景 二、HTTPS 的工作过程 1. 对称加密 2.非对称加密 3. HTTPS 基本工作过程 3.1 使用对称密钥 3.2 引入非对称密钥&#xff08;面试高频问题&#xff09; 3.3 黑客的手段 3.4 引入证书 3.5 捋一捋 3.6 SSL/TLS 三、HTTP 与 HTTPS 区别&#xff08;…

一对一语音视频直播双端原生+php后台源码 社交交友APP匹配语音视频聊天即时通信源码

介绍&#xff1a; 这套是没有教程的哈&#xff0c;你们需要的自己研究。 开发语言 后端web&#xff1a;PHP Android&#xff1a;Java iOS&#xff1a;obje-ct-ctive-C 全新原生一对一社交软件 速度匹配 视频匹配语音匹配 即时通信产品 秒匹配 秒接通 独立资料卡页面 画面以及语…

chatgpt赋能python:Python代码的修改

Python代码的修改 Python是一门广泛应用于Web开发、数据分析、人工智能等领域的编程语言。当你编写Python代码时&#xff0c;你可能需要修改代码以满足不同的需求。但是&#xff0c;如何修改Python代码并确保其正常运行呢&#xff1f;在本文中&#xff0c;我们将介绍一些关于P…

chatgpt赋能python:Python修改List的教程

Python修改List的教程 当涉及到Python编程时&#xff0c;对于处理和管理数据&#xff0c;List是一个非常常见和有用的数据结构。像大多数数据结构一样&#xff0c;有时需要对List进行修改&#xff0c;以便更好地满足程序的需求。因此&#xff0c;本文将向您展示如何使用Python…

来自MIT的论文答辩、PPT教程,教你轻松应对毕业季和学术会议

晓查 发自 凹非寺 量子位 报道 | 公众号 QbitAI 马上就要毕业了&#xff0c;你是不是还在为论文答辩发愁&#xff1f; 又或者你第一次参加学术会议&#xff0c;不知道如何制作论文海报和演讲PPT&#xff1f; 这些与论文主体看似无关的“细枝末节”&#xff0c;往往没有人帮忙&a…

【学术技巧】论文答辩,老师会仔细看论文内容吗?

有同学问&#xff0c;我要参加学位论文答辩&#xff0c;老师会仔细看论文内容吗&#xff1f; 看看大家怎么回答&#xff1f; 高赞回答一 作者&#xff1a;静寂谷链接&#xff1a;https://www.zhihu.com/question/321307733/answer/673243143来源&#xff1a;知乎 一堆人在写答…

chatgpt赋能python:用Python做量化分析:如何利用编程语言赚取利润

用Python做量化分析&#xff1a;如何利用编程语言赚取利润 在金融市场中&#xff0c;量化分析是一种广泛应用的投资策略。该策略基于数学和统计学模型&#xff0c;利用计算机算法来分析和预测金融市场&#xff0c;以获得更好的投资回报。使用python编程语言可以轻松地进行量化…

ChatGPT最大竞争对手来了,两分钟保姆级教程

这个教程前几天就要出了&#xff0c;一直排到今天。 我们都知道&#xff0c;因为ChatGPT在国内的各种限制&#xff0c;非常影响我们体验。 但是现在我们有了更多选择&#xff0c;ChatGPT最大的竞争对手横空出世 Claude的技术部分就来自于OpenAI&#xff0c;AIria测试下来Cla…

苹果IOS使用教程如何使用PPTP达到给手机换IP

IOS系统下使用PPTP教程&#xff0c;默认IOS10及以上系统不再支持PPTP&#xff0c;以IOS8系统为教程&#xff0c;仅供参考 第一步&#xff1a;打开设置 第二步&#xff1a;找到通用按键 第三步&#xff1a;找到这个协议 第四步&#xff1a;添加设备 第五步&#xff1a;根据商家提…