话不多说，案情👇

1 检材 1 的操作系统版本是（D）

A. CentOS release 6.5 (Final)

B. Ubuntu 16.04.3 LTS

C. Debian GNU/Linux 7.8 (wheezy)

D. CentOS Linux release 7.6.1810 (Core)

2 检材 1 中，操作系统的内核版本是（3.10.0）

（答案格式：“1.2.34” 数字和半角符号）

3 检材 1 中磁盘包含一个 LVM 逻辑卷，该 LVM 开始的逻辑区块地址（LBA）是（2099200）

（答案格式：“12345678” 纯数字）

fdisk -l

4 检材 1 中网站“www.kkzjc.com”对应的 Web 服务对外开放的端口是（32000）

（答案格式：“123456” 纯数字）

搜了一下，直接看到路径

进入后发现端口

5 检材 1 所在的服务器共绑定了（3）个对外开放的域名

（答案格式：“123” 纯数字）

进入刚才路径发现三个域名

6 检材 1 所在的服务器的原始 IP 地址是（192.168.99.3）

（答案格式：“172.172.172.172” 半角符号）

这题不用着急，下面肯定有连接这台服务器的记录，解析在第9题

7嫌疑人曾经远程登录过检材 1 所在的服务器，分析并找出其登录使用的 IP 地址是（192.168.99.222）（并使用该地址解压检材 2）（答案格式：“172.172.172.172” 半角符号）

ast命令查看登陆情况，发现有192.168.120.1和192.168.99.222两个IP。尝试解压检材二发现192.168.99.222为正确答案。192.168.120.1的作用应该会在后文体现

8检材 1 所在的服务器，其主要功能之一为反向代理。找出“www.kkzjc.com”转发的后台网站所使用的 IP 地址是（192.168.1.176）（并用该 IP 地址解压检材 3）（答案格式：“172.172.172.172” 半角符号）

查看该网站配置文件发现代理到本机8091端口

但查看端口发现8091没开。。。。。

翻翻历史命令，发现docker，怀疑docker作怪👇

果然👆，启docker，看配置文件（/etc/nginx/conf.d）👇，发现docker又反向代理到192.168.1.176的80端口

9 嫌疑人曾经从题 7 的 IP 地址，通过 WEB 方式远程访问过网站，统计出检材 1 中该 IP 出现的次数为（18）（答案格式：“888” 纯数字）

此题刚做时也没找到好办法，后来发现可以通过查看docker logs看访问日志。

docker logs 08 | grep 192.168.99.222 –c

同时通过post方式，可以发现该服务器原始ip，即第6题答案

警方找到了嫌疑人使用的个人 PC（检材 2.zip），请使用第 7 题的答案作为密码解压检材 2，分析并回答下列问题：

10 检材 2 的原始磁盘 SHA256 值为

（2D926D5E1CFE27553AE59B6152E038560D64E7837ECCAD30F2FBAD5052FABF37）（答案格式：“abcdefg” 不区分大小写）

11 检材 2 所在计算机的 OS 内部版本号是（18363）

（答案格式：“12345.7895” 半角符号）

12 检材 2 所在计算机最后一次正常关机的时间为（2020-09-22 13:15:34）

（答案格式：“1970-10-01 10:01:45” 精确到秒，半角符号）

13 检材 2 中，VMware 程序的安装时间为（2020-09-18 17：54）

（答案格式：“2020-01-01 21:35” 精确到分钟，半角符号）

安装日期即安装程序运行日期

14 检材 2 中，Vmware.exe 程序总计启动过（8）次

（答案格式：“5” 纯数字）

15 嫌疑人通过 Web 方式，从检材 2 访问检材 1 所在的服务器上的网站时，连接的目标端口是（8091）（答案格式：“12345” 纯数字）

看浏览器访问记录

16 接 15 题，该端口上运行的进程的程序名称（Program name）为（docker-proxy）

（答案格式：“avahi-deamon” 字母和半角符号组合）

在检材一查看端口

17 嫌疑人从检材 2 上访问该网站时，所使用的域名为（www.sdhj.com）

（答案格式：“www.baidu.com” 半角符号）

上上题图👆

18 检材 2 中，嫌疑人所使用的微信 ID 是（sstt119999）

（答案格式：“abcde8888” 字母数字组合）

找到手机压缩包，分析

题目提示数字和字母

19 分析检材 2，嫌疑人为推广其网站，与广告位供应商沟通时使用的通联工具的名称为（Telegram）

（答案格式：“Wechat” 不区分大小写）

翻就完事了

20 分析检材 2，嫌疑人使用虚拟货币与供应商进行交易，该虚拟货币的名称是（dogecoin）

（答案格式：“bitcoin” 不区分大小写）

聊天记录图片中有

 

21上述交易中，对方的收款地址是（DPBEgbwap7VW5HbNdGi9TyKJbqTLWYYkvf）

（答案格式：“abC1de3fghi” 大小写字母数字组合）

上题图👆

22上述交易中，嫌疑人和供应商的交易时间是（）

（答案格式：“2020-01-01 21:35:54” 精确到秒，半角符号）

23上述交易中，嫌疑人支付货币的数量为（）

（答案格式：“8888” 纯数字）

22、23两题可以通过上网输入付款地址查询，但现在已经查不了了，具体时间及数量看不到

24 检材 2 中，嫌疑人使用的虚拟机的虚拟磁盘被加密，其密码为（zzzxxx）

（答案格式：“aoeiou”小写字母）

仿真后打开VMware workstation，看到虚拟机位置

通过虚拟机解密脚本解密

pyvmx-cracker.py -v 1.vmx -d passwd.txt

获得密码后，把加密取消后可以分析了

25 检材 2 中，嫌疑人发送给广告商的邮件中的图片附件的 SHA256 值为（CC7EA3AB90AB6B28417E08C715C243CE58EA76D71FD141B93F055A58E9BA561A）；（忽略邮件状态）

（答案格式：“abcdefg” 小写字母）

26 检材 2 中，嫌疑人给广告商发送广告图片邮件的发送时间是（2020-09-20 12：53）（忽略邮件状态）

（答案格式：“2020-01-01 21:35” 精确到分钟，半角符号）

27 检材 2 中，嫌疑人的邮箱密码是（honglian7001）

（答案格式：“abcde123456” 字母符号数字组合，区分大小写）

28 检材 2 中，嫌疑人使用了（xshell）远程管理工具，登录了检材 1 所在的服务器。

（答案格式：“abcde” 字母，不区分大小写）

分析时发现了xshell

29 检材 2 中，嫌疑人使用上述工具连接服务器时，使用的登录密码为（qwer1234!@#$）

（答案格式：“aBcd#123” 数字符号字母组合，区分大小写）

上题图👆

请使用第 8 题的答案作为密码解压检材 3，分析并回答下列问题

30 检材 3 的原始磁盘 SHA256 值为（FF593FCCB3770B8845A3334631F8E80807638EE722C5AA7B34E877589857C3BA）

（答案格式：“abcdefg” 不区分大小写）

31检材 3 所在的计算机的操作系统版本是（C）

A. Windows Server 2012

B. Windows Server 2008 R2

C. Windows Server 2008 HPC Edition

D. Windows Server 2019 LTSB

32 检材 3 中，部署的网站名称是（card）

（答案格式：“abcdefg” 小写字母）

仿真检材三，发现iis服务器。👇

33 检材 3 中，部署的网站对应的网站根目录是（c:\inetpub/wwwroot\v7w）

（答案格式：“d:\path1\path2\path3” 绝对路径，半角符号，不区分大小写）

上题图👆

34 检材 3 中，部署的网站绑定的端口是（80）

（答案格式：“12345” 纯数字）

上上题图👆

35 检材 3 中，具备登陆功能的代码页，对应的文件名为（dllogin.aspx）

（答案格式：“index.html” 字母符号组合，不区分大小写）

翻翻网站默认根目录下default.aspx能看到登陆页面代码文件位置

👇

36检材 3 中，请对网站代码进行分析，网站登录过程中，代码中对输入的明文密码作了追加（0v0）字符串处理（答案格式：“a1b2c3d4” 区分大小写）

登录过程中，就看登陆文件，打开后发现下面这行👇

37检材 3 中，请对网站代码进行分析，网站登录过程中，代码中调用的动态扩展库文件的完整名称为（App_Web_dllogin.aspx.7d7c2f33.dll）（答案格式：“abc.html.ABC” 区分大小写，半角符号，包含扩展名）

在登陆页面（dllogin.aspx）文件中可看👇

38检材 3 中，网站登录过程中，后台接收到明文密码后进行加密处理，首先使用的算法是 Encryption 中的（AESDecrypt）函数

（答案格式：“Bcrypt” 区分大小写）

对文件夹中的内容检索一下，发现下面这个dll文件可能有Encryption方法

用dnspy分析该dll文件，登录过程中，所以搜索登陆页面dllogin，然后发现Encryption方法

进Encryption方法后发现AESDecrypt函数

39 检材 3 中，分析该网站连接的数据库地址为（192.168.1.174）并使用该地址解压检材 4

（答案格式：“172.172.172.172” 半角符号）

分析登陆页面dll文件，就是不断找和数据库连接地方

发现DUserLogin函数，又发现DBcon类

怀疑括号内的长字符串就是数据库信息，再次两种方法解密

第一种方法，先base64解密，再AES解密，解密时要注意空位用空格补齐

第二种方法，因为iis架设在windows，所以也可以用本地windows的powershell引用类解密，发现他引用了DBManager，于是先引入DBManager类，用这个类去解密，但要注意格式

40 检材 3 中，网站连接数据库使用的密码为（c4f2737e88）（答案格式：“Abc123!@#” 字母数字符号组合，区分大小写）

上题图👆

41 检材 3 中，网站连接数据库服务器的端口是（1433）

（答案格式：“12345” 纯数字）

上上题图👆

请使用第 39 题的答案作为密码解压检材 4，分析并回答下列问题

42 检材 4 的原始磁盘 SHA256 值为（E5E548CCAECD02608A0E053A5C7DCDBFBDD4BE5B0E743EB9DC8E318C369BEBC8）

（答案格式：“abcdefg” 不区分大小写）

43重构该网站，分析嫌疑用户的推广链接中参数里包含的 ID 是（abe6d2ee630379c3）

（答案格式：“a1b2c3d4” 字母数字组合，小写）

重构网站很麻烦。。。。。把数据库服务器启起来后，因为调用的dll文件涉及ip就是1.174，因此需要把数据库服务器ip改好，而且查看历史把docker启起来。

连数据库时连不上可以尝试重启数据库服务器

在TD_User表中发现用户名和密码，但admin起始被禁用了。真正的管理员账号时liwente1314520。

但密码加密方式在刚才dll文件中看过了，AES+MD5。。。。

但看输入密码后有弹出密码错误提示，结合之前dll文件，可以把加密密码直接弹出来

把报错改成text2

导出的dll文件导进检材3服务器内，在进网站输入密码，输入654321

弹出的值就是加密过后的密码，直接改进数据库里

但此时还是进不去。。。其实代码审计过程中应该发现👇

有域名白名单。。。。在TD_webs中，需要把访问域名加进去

如下👇

这把就能通过密码654321进来了

放进去找ID，翻就完事了

44重构该网站，该网站后台的代理用户数量为（26）

（答案格式：“12345” 纯数字）

数数📕

45重构该网站，该网站注册用户中共有过（32）个代理（包含删除的数据）

（答案格式：“12345” 纯数字）

就是问这个网站包括删除用户，一共有多少用户注册过，在TU_User表中

46重构该网站，对补发记录进行统计，统计 2019 年 10 月 1 日后补发成功的金额总值（138408）

（答案格式：“123456” 纯数字）

这题比较坑。。。一共83页记录，手撸很难算对，而且这个网站记录不能导出。。。。。可以写个爬虫，或者用工具算👇，在这就不算了，答案是138408

47 检材 4 中，对“TX_IpLog”表进行分析，所有在“武汉市”登录的次数为（2829）

（答案格式：“” 纯数字）

先把武汉筛出来，发现一共2页多829条，满页1000条，所以一共2829条

48重构该网站，该嫌疑人下属代理“liyun10”账户下的余额有（1066449）元

（答案格式：“123456” 纯数字）

代理中找到liyun10，没法查看余额。。

发现有后台，后台登陆时域名还要加上ip

登陆成功后可以查看余额👇

49 接上一题，该用户的推广 ID 是（d0fdd7a9a010d37e）

（答案格式：“a1b2c3d4” 字母数字组合，小写）

翻👇

50 接上一题，该代理商户的最后一次登陆时间是（2016-09-05 17:09:13）

（答案格式：“2020-01-01 21:35” 精确到秒，半角符号）

欢迎各位大佬前来交流~