ZJWA

APK分析

1、APK的包名

image-20240312161055249

2、APK中请求读取用户隐私信息的权限数量

image-20240312161143049

3、APK的签名序列号是

image-20240312161313891

4、APK的生成方式

A.通过在线打包工具生成 B.通过离线打包工具生成

C.通过第三方SDK生成 D.通过安卓编译工具生成

5、APK的程序入口界面

image-20240312162207865

6、APK的本地安全验证码为

image-20240312162616752

7、APK中设置了哪些检测函数

8、APK主网站的主要加密方式

image-20240312164927262

image-20240312165035311

9、APK主网站的加密密钥是

见上题图一

10、APK主网站的加密密文是

间上上题图二

11、APK的主网站地址

192.168.165.139:8887/wap/index/login.html

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
from Crypto.Cipher import DES
from Crypto.Util.Padding import unpad
import base64

def decrypt(key, ciphertext):
cipher = DES.new(key.encode('utf-8'), DES.MODE_CBC, iv=b'20220022')
ciphertext = base64.b64decode(ciphertext)
plaintext = unpad(cipher.decrypt(ciphertext), DES.block_size)

return plaintext.decode('utf-8')

if __name__ == "__main__":
# 替换为实际的密钥和密文
skey = "Keyman20"
encrypted_text = "dJ+cARjbadeF0J8AGPVyvicTD5K4VIZ+26RFYJvVIjWVQlhj58NCxjjgq1O5xVEe"

decrypted_text = decrypt(skey, encrypted_text)
print("Decrypted Text:", decrypted_text)

数据包分析

12、黑客攻击的网站的端口号为

image-20240312182958509

13、黑客对后台尝试弱口令但未登陆成功的次数为

image-20240312184250513

14、黑客上传的小马文件的连接密码为

image-20240312185408816

15、黑客上传的小马文件在服务器中的权限为

16、被攻击的网站使用的数据库名为

image-20240312190215534

17、黑客成功登录该网站后台使用的密码为

image-20240312190343280

18、黑客获取的在内网中且用于攻击和探测的主机IP为(主机A)

image-20240312190502129

服务器分析

再网站的根目录下存在搭建说明

image-20240314145619291

说明中提到数据库配置文件

image-20240314145702376

打开配置文件看一眼,修改数据库服务器地址,该数据库在第二台虚拟机里

密码采取skip-grant-tables绕过,修改第二台虚拟机的/etc/my.cnf

image-20240314150010982

接着重启一下网站后在宝塔中添加域名,网站就重构成功了

image-20240314150143850

查看网站登录日志,就能找到网站后台入口

image-20240314150323711

接着用navicat连接数据库查看管理员密码,好运的是密码能用md5查到

image-20240314150445340

image-20240314150506654

1、在服务器搭建的涉案网站中,一共注册了多少个用户

image-20240314151040308

2、在该服务器中宝塔面板绑定的手机号是多少()

image-20240314151519235

3、在该服务器中,绑定手机号“17865309720”的用户名字是什么()

image-20240314151612725

4、在该服务器中,节点etcd-2的节点ID是多少()

查看配置文件/opt/etcd-v3.4.18-linux-amd64/etcd.conf(不同虚拟机的etcd安装位置不同)

image-20240326180534182

可以根据etcd配置文件修改虚拟机网卡信息,也可以直接修改配置文件。

同时需要修改/etc/hosts文件

image-20240326180725275

配置好后记得关闭firewall

配置好后在每台集群机器上运行命令以启动etcd服务:

1
/opt/etcd-v3.4.18-linux-amd64/etcd --config-file=/opt/etcd-v3.4.18-linux-amd64/etcd.conf

这样etcd集群就搭好了

运行./etcdctl member list查看而提出的集群中虚拟机信息,可以看到每个机器的ID值

image-20240326181123575

/opt/etcd-v3.4.18-linux-amd64/walwal目录下可能会存在日志文件,查看可以看到etcd集群各虚拟机的ID

image-20240326181912132

etcd

一个用于配置共享和服务发现的键值数据库,取证关注键值

常用配置项

  • name:成员名称
  • data-dir:数据存储路径,为空则会俺成员名生成在服务启动路径
  • listen-client-urls:对外提供服务的地址,不可包含域名
  • advertise-client-urls:此成员的客户端 URL 列表,用于通告集群的其余部分。这些 URL 可以包含域名
  • listen-peer-urls:和成员之间通信的地址,域名无效
  • initial-advertise-peer-urls:该节点成员对等 URL 地址,且回通告集群的其余成员节点
  • initial-cluster:集群中的所有节点的信息
  • initial-cluster-token:创建集群的 token,这个值每个集群保持唯一
  • initial-cluster-state:初始集群状态,可选 new 或 existing

/etc/etcd/etcd.conf

1
2
3
4
5
6
7
8
9
ETCD_DATA_DIR="/var/lib/etcd/default.etcd" #/var/lib/etcd/default.etcd/member/wal/0000000.wal中可能藏有被删除的键值对;/var/lib/etcd/default.etcd/member/snap/db中也会有键值对
ETCD_LISTEN_PEER_URLS="http://192.168.160.131:2380"
ETCD_LISTEN_CLIENT URLS="http://0.0.0.0:2379"
ETCD_NAME="etcd1"
ETCD_INITIAL_ADVERTISE_PEER_URLS="http://192.168.160.131:2380"
ETCD_ADVERTISE_CLIENT_URLS="http://0.0.0.0:2379"
ETCD_INITIAL_CLUSTER="etcd1=http://192.168.160.131:2380,etcd2=http://192.168.160.133:2380,etcd3=http://192.168.160.134:2380"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-token"
ETCD_INITIAL_CLUSTER_STATE="new"

取证常用命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
etcdctl cluster-health #检查集群状态
etcdctl member list #查询集群节点信息,查看主控节点isLeader
etcdctl put /user/key1 "hello world" #在/user/目录下创建一个key1,key1的值为hello world
etcdctl get /user/key1 #在/user/目录下查询键值key1,返回hello world
etcdctl del /user/key1 #删除/user/下的二key1键值

export ETCDCTL_API=3
#修改etcd的控制台版本,防止有些命令无法正常运行

etcdctl get /home/wohu/ --prefix
etcdctl get --from-key ""
#两个命令分别查看一个目录下的所有key和查看所有key

etcdctl --endpoints=http://192.168.160.133:2379 endpoint status -w table #查看节点详细信息并且列成表格
etcdctl endpoint status --cluster -w table #查询所有节点状态

etcdctl snapshot save snapshot.db #创建集群备份
etcdctl snapshot status snapshot.db -w table #查看集群备份状态
ectdctl snapshot restore snapshot.db --data-dir=/data #集群备份还原到/data下
chown -R etcd:etcd /data #备份换源报错一般都是权限问题,再修改etcd.conf里的datadir

Note

ETCD取证关键点:配置文件etcd.conf,键值对。Etcd的配置文件中会存储这个集群所有节点的ip信息,可以让我们很好的分辨有多少台服务器。然后我们也可以通过查询这个集群中的key值拿到一些数据,比如一些数据的配置信息,或者用户存储的一些密码。

单节点启ETCD

默认的单节点etcd.conf

1
2
3
4
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_CLIENT_URLS="http://localhost:2379"
ETCD_NAME="default"
ETCD_ADVERTISE_CLIENT_URLS="http://localhost:2379"

替换配置文件,删wal

5、在该服务器中,集群节点的leader ID是多少()

登录主节点虚拟机,运行上题命令。

6、在该服务器中,存在一个诈骗网站,网站后台密码存放在/usr/目录的键值中,该密码的值是()

密码见上文

7、接上题,该诈骗网站有残留的客服qq信息,客服的qq号是多少()

见后台

image-20240314163203755