22长安杯电子取证复现（检材一，二）

检材一

先用VC容器挂载，拿到完整的检材

从检材一入手，火眼创建案件，打开检材一

1.检材1的SHA256值为

计算SHA256值，直接用火眼计算哈希计算

9E48BB2CAE5C1D93BAF572E3646D2ECD26080B70413DC7DC4131F88289F49E34

2.分析检材1，搭建该服务器的技术员IP地址是多少？用该地址解压检材2

要找技术员的ip

在火眼中访问登录日志

ip:172.16.80.100

因为要搭建应该要远程连接才能运维，所以选择查看登录日志

3.检材1中，操作系统发行版本号为

运用命令查找

cat /etc/redhat-release

操作系统发行的版本号 7.5.1804（Core）

4.检材1系统中，网卡绑定的静态IP地址为

启动镜像，创建虚拟机后，会自动重置密码（登录用户为root，密码为123456，因为是第一次做电子取证，不知道在登录时密码是不显示的，以为是虚拟机卡了）

成功登录，查看ip

172.16.80.133

ifconfig

5.检材1中，网站jar包所存放的目录是

查看历史记录，发现有下载jar包

查看源文件，查看history发现里面有很多的关于jar的命令，并且都是在/web/app目录下的

6.检材1中，监听7000端口的进程对应文件名为

命令执行看看有没有在监听7000端口的，没有发现，

netstat -anp | grep 7000

查看历史，看看什么可能是什么文件的执行监听端口，发现后面的jar运行后，有查看端口的操作，所以分别运行jar包

nohup  java  -jar  /web/app/exchange.jar  >/dev/null 2>&1 &
nohup  java  -jar  /web/app/admin.jar  >/dev/null 2>&1 &
nohup  java  -jar  /web/app/market.jar  >/dev/null 2>&1 &
nohup  java  -jar  /web/app/ucenter.jar  >/dev/null 2>&1 &
nohup  java  -jar  /web/app/cloud.jar  >/dev/null 2>&1 &

先进入到/web/app目录下，

分别运行5个jar包，在运行结束后再一次查看是否有监听7000端口的

发现工作进程为1508在监听7000端口，查询进程的文件名

ps -aux |grep 7000

监听的文件名为cloud.jar

7.检材1中，网站管理后台页面对应的网络端口为

暂时空一下，网站的页面都不清楚

从15题看回来，检材二中就包含网站，在火眼中就能查看到网站后台的端口

端口：9090

8.检材1中，网站前台页面里给出的APK的下载地址是

9.检材1中，网站管理后台页面调用的用户表(admin)里的密码字段加密方式为?

10.分析检材1，网站管理后台登录密码加密算法中所使用的盐值是

检材二

11.检材2中，windows账户Web King的登录密码是

解压后，用火眼打开就能看见

12.检材2中，除检材1以外，还远程连接过哪个IP地址？并用该地址解压检材3

远程连接ip地址需要用到命令，查看SSH历史输入的命令（SSH系统就是专门用来远程连接的）

SSH:由 IETF制定的建立在应用层基础上的安全网络协议。它是专为远程登录会话(甚至可以用Windows远程登录Linux服务器进行文件互传)和其他网络服务提供安全性的协议，可有效弥补网络中的漏洞。通过SSH，可以把所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。目前已经成为Linux系统的标准配置

ip：172.16.80.128

13.检材2中，powershell中输入的最后一条命令是

启动检材二的镜像后，进入powershell，powershell用于Windows进行系统管理且powershell有终端记忆历史命令的功能，进入后按上键就可以查看历史命令

powershell：

PowerShell是一种功能强大的脚本语言和shell程序框架，主要用于Windows计算机方便管理员进行系统管理并有可能在未来取代Windows上的默认命令提示符。PowerShell脚本因其良好的功能特性常用于正常的系统管理和安全配置工作，然而，这些特性被攻击者理解并转化为攻击特性，也就成为了攻击者手中的攻城利器，给企业网络造成威胁。