可以将获得的windows镜像先挂载获取SAM和SYSTEM注册表文件,然后使用mimikatz
提取windows的密码ntml哈希值 <span class="ne-text">8035e98e98f326b52d7ce132a20b229c</span>
1、windows服务器的操作系统的Build版本号为?
仿真后可以直接在运行中输入 <span class="ne-text">winver</span>
即可查看
结果为 <span class="ne-text">7601</span>
2、嫌疑人最后一次远程登录到windows服务器的公网IP地址为?
结果为 <span class="ne-text">45.232.33.144</span>
3、windows服务器中嫌疑人通过xshell软件管理的服务器IP包括?(多选)
A 118.31.244.138 B 114.154.104.117
C 47.243.25.82 D 43.123.23.118
直接访问 <span class="ne-text">username/document/NetSarang/Xshell/Sessions</span>
下的xsh和桌面的xsh,查看记录的IP地址
结果为 <span class="ne-text">ABC</span>
QQ保存的文件路径一般为 <span class="ne-text">username/document/Tencent Files/QQID/FileRecv</span>
结果为 <span class="ne-text">3032324653</span>
5、windows服务器中嫌疑人运行过以下哪几款代理工具?(多选)
A winXray B 芝麻代理
C 精灵IP D 跳转代理
结果为 <span class="ne-text">ABD</span>
6、windows服务器中嫌疑人登录”水滴IP”工具的手机号为?
软件目录下的 <span class="ne-text">proxybox1.cnf</span>
文件中
结果为 <span class="ne-text">17769768655</span>
7、windows服务器清除日志的脚本名为?
可以在计划任务中看到清除任务
结果为 <span class="ne-text">balckqwe.bat</span>
8、接第7题,该脚本文件会清除一下哪些选项内容?(多选)
A windows应用程序日志 B windows安全日志
C 服务器最近运行程序痕迹 D 用户最近打开文档痕迹
编辑之前的bat文件,这条命令是清除全部系统日志
而C和D保存在注册表中
结果为 <span class="ne-text">AB</span>
9、分析windows服务器Mysql数据库中”daikuan”,其”user”表记录的用户数量为?
找到目录
导出文件并放到phpstudy的mysql目录下
使用Navicat查看
结果为 <span class="ne-text">30</span>
10、Linux服务器的操作系统CentOS版本号为?
直接查看文件/etc/centos-release
结果为 <span class="ne-text">7.5.1804</span>
11、Linux服务器SSH历史远程登录痕迹中,首次登录的IP地址为?
查看/var/log/secure-20210817
结果为 <span class="ne-text">103.136.124.114</span>
12、Linux服务器中宝塔面板的端口号为?
仿真过后输入 <span class="ne-text">bt default</span>
查看
或者可以查看文件 <span class="ne-text">cat <span class="ne-text">/www/server/panel/data/port.pl </span></span>
结果为 <span class="ne-text">51000</span>
13、Linux服务器中宝塔面板记录”BasicAuth”认证账号密码的哈希值的文件名为?
储存这个哈希的文件名为basic_auth.json
结果为 <span class="ne-text">basic_auth.json</span>
14、Linux服务器远程登录用户名”QqZDzh123″的密码为?
john字典攻击
结果为 <span class="ne-text">123123</span>
15、Linux服务器中”检材2-数据盘”挂载的服务器系统目录为?
结果为 <span class="ne-text">data</span>
16、Linux服务器中嫌疑人在8月18号利用”mysqldump”命令备份过分发网站服务器数据库,该数据库中注册过的用户数量为?
查看历史命令可以看到导出的文件目录
导出这个文件恢复备份并使用查询语句
结果为 <span class="ne-text">120</span>
17、Linux服务器中嫌疑人第一次成功登录到宝塔面板的IP地址为?
通过查看日志
结果为 <span class="ne-text">103.136.124.114</span>
18、Linux服务器中涉案的投资理财网站(yisheng.com)源码路径为?
删除 <span class="ne-text">/www/server/data/mysql-bin.index</span>
后,mysql可以启动成功
结果为 <span class="ne-text">/www/wwwroot/yisheng.com</span>
19、Linux服务器中记录涉案的投资理财网站访问日志的配置文件名为?
日志记录在 <span class="ne-text">/www/wwwlogs</span>
中
结果为 <span class="ne-text">yisheng.com-access_log</span>
20、Linux服务器中涉案的投资理财网站访问日志中,最早访问网站后台的IP地址为?
查看日志,要注意是最早访问 网站后台的IP地址,先查看网站结构可以看到后台是在system目录下的
本题没有影响,第一个访问网站以及后台的是同一个ip
结果为 <span class="ne-text">125.119.81.131</span>
21、Linux服务器中使用的容器名称为?
查看history,可以看到使用的容器的docker
结果为 <span class="ne-text">docker</span>
22、Linux服务器中涉案的投资理财网站源码中,其数据库连接配置文件的文件名为?
分析网站目录
结果为 <span class="ne-text">database.php</span>
23、分析Linux服务器中投资理财网站,其数据库使用的容器ID为?
查看history可以看到打开了两个容器
查看这两个容器的 <span class="ne-text">hostconfig.json</span>
结合上题数据库配置的端口为 <span class="ne-text">14323</span>
结果为 <span class="ne-text">819a11efed48</span>
24、请登录Linux服务器中涉案的投资理财网站后台页面,点击”用户管理”-“客户列表”-“所有代理商”,统计账户总余额为多少$?
先关闭BasicAuth认证和IP限制
根据历史命令启动容器
docker启动时提示端口被占用
端口被 <span class="ne-text">test</span>
网站占用
删掉之后并删除端口监听,正常启动
根据配置文件连接进入 <span class="ne-text">touzi</span>
数据库
看到密码,尝试解一下
得到密码 <span class="ne-text">123123</span>
登录时提示
查看一下代码位置
改逻辑
成功登录
查看后台位置
成功登录
查看结果
结果为 <span class="ne-text">2452</span>
25、分析Linux服务器中涉案的投资理财网站数据库的用户信息表和银行卡详情表,其中用户信息表中账户余额为负数且归属于浙江省的潜在受害人的数量为?
现在 <span class="ne-text">wp_userinfo</span>
里看到 <span class="ne-text">uid</span>
和 <span class="ne-text">uermoney</span>
再看到 <span class="ne-text">wp_bankcard</span>
里有 <span class="ne-text">uid</span>
和 <span class="ne-text">scard</span>
,其中 <span class="ne-text">scard</span>
表示身份证号码, <span class="ne-text">33</span>
开头的身份证属于浙江
写sql查询
结果为 <span class="ne-text">189</span>
26、分析Linux服务器中涉案的投资理财网站中的客服,其中向客服发送过”为啥我注册不了”的话的游客ID为?
取证大师原始数据搜索 <span class="ne-text">为啥</span>
,发现了被删除的数据库 <span class="ne-text">kefu</span>
导出来查看
结果为 <span class="ne-text">611b5776</span>
27、分析Linux服务器中网站”gougouwu.com”首页中显示的备案号为?
搜索 <span class="ne-text">备案</span>
看到一个 <span class="ne-text">粤I</span>
的数据库文件
结果为 <span class="ne-text">粤ICP备17098355号-3</span>
28、分析Linux服务器中mysql数据库”shudan”,其用户表(zxjy_user)id为”1109″的用户名(username)为?
查看登录表
结果为 <span class="ne-text">515098537</span>
29、请重构Linux服务器中网站”jiedai.com”,分析网站中的客服域名为?
回收站中恢复 <span class="ne-text">jiedai.com</span>
,修改文件夹的权限
结果为 <span class="ne-text">http://kefu.maycscbay.com/</span>
30、分析Linux服务器网站”jiedai.com”,目前属于”禁止登录”状态的注册用户数量为?
密码为 <span class="ne-text">admin</span>
写sql
结果为 <span class="ne-text">8</span>
Original: https://www.cnblogs.com/WXjzc/p/16592281.html
Author: WXjzc
Title: 21浙比武
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/598942/
转载文章受原作者版权保护。转载请注明原作者出处!