admin管理员组

文章数量:1130349

IM 服务器

仿真之后将虚拟机的网络连接类型改为 NAT. 由于服务器使用的是 DHCP, 并且开启了 sshd, 可以直接用 shell 连接工具连接.

可以看到服务器中运行着一个 docker 容器:

进入容器并且查看作为入口点的脚本 docker-entry.sh. 其中包含了 PostgreSQL 和 MatterMost 的配置文件信息:

docker exec -it 643626ab3d8b /bin/bash

PostgreSQL 的配置信息通过环境变量的方式传递

查看 /mm/mattermost/config/config-docker.json, 其中包含的关键信息

服务监听端口为 8065

SqlDriver 数据库的配置, 用户名 mmuser, 密码 mostest, 数据库 mattermost_test

使用浏览器访问 exit

ip:8065 可以访问 MatterMost 的 Web APP.

用 iptables 可以将容器内 PostgreSQL 使用的 5432 端口映射到虚拟机的 5432 端口, 以便后续使用工具连接:

docker inspect 643626ab3d8b | grep IPAddress
iptables -t nat -A DOCKER -p tcp --dport 5432 -j DNAT --to-destination 172.17.0.2:5432

通过navicatssh连接,连接容器内的pg数据库

在数据库的 user 表中可以看到加密存储的密码, 加密类型为 bcrypt.

都修改为123456

成功登录

分析内部IM服务器检材,在搭建的内部即时通讯平台中,客户端与服务器的通讯端口是:[答案格式:8888][★☆☆☆☆]

8065

docker ps 可以看到其外部转发的是8065端口

或者 docker inspect 643626ab3d8b | grep -i port

 

分析内部IM服务器检材,该内部IM平台使用的数据库版本是: [答案格式:12.34][★★☆☆☆]
 

 
 
12.18
 

 

docker inspect 643626ab3d8b | grep -i version
 

 

或者直接sql语句查询
 

 

 

分析内部IM服务器检材,该内部IM平台中数据库的名称是:[答案格式:小写][★★☆☆☆]
 

 
 
mattermost_test
 

 

之前的方法或者看环境变量
 

docker inspect 64 | grep -i env -C 10
 

 

docker inspect 643626ab3d8b | grep -i db 也行
 

 

分析内部IM服务器检材,该内部IM平台中当前数据库一共有多少张表:[答案格式:1][★★☆☆☆]
 

 
 
82
 

 

 

 

分析内部IM服务器检材,员工注册的邀请链接中,邀请码是:[答案格式:小写数字字母][★★★☆☆]
 

 
 
54d916mu6p858bbyz8f88rmbmc
 

 

在数据库的 teams 表中可以看到团队信息, 其中的 inviteid 是邀请码.
 

 

 

 

分析内部IM服务器检材,用户yiyan一共给fujiya发送了几个视频文件:[答案格式:数字][★★★☆☆]
 

 
 
2
 

 

登录yiyan的账号,传了2个视频和4个音频
 

 

 

 

分析内部IM服务器检材,用户yiyan在团队群组中发送的视频文件的MD5值是:[答案格式:小写][★★★☆☆]
 

 
 
f8adb03a25be0be1ce39955afc3937f7
 

 

查看频道的聊天记录,将yiyan上传的视频下载下来直接计算
 

 

 

分析内部IM服务器检材,一个团队中允许的最大用户数是:[答案格式:数字][★★★★☆]
 

 
 
50
 

 

登录管理员账号, 在后台可以看到相关设置:
 

 

 

分析内部IM服务器检材,黑客是什么时候开始攻击:[答案格式:2024-01-01-04-05][★★★☆☆]
 

Z代表UTC时间,需要+8
 

2024-04-25-15-33
 

 

 

 

WEB 服务器
 

直接仿真之后将虚拟机的网络连接类型改为 NAT.
 

由于服务器使用的是 DHCP, 并且开启了 sshd, 可以直接用 shell 连接工具连接.
 

连接之后可以在 /root 目录下看到用于备份数据库的 backup.sh 和存放备份文件的 backup 目录.
 

 

还可以看到用于安装宝塔面板的 install.sh 脚本.
 

 

通过 bt 命令, 查看宝塔面板的相关信息并修改密码
 

 

 访问  http://192.168.59.4:39802/39c115ad 使用修改后信息登录宝塔面板:
 

简单看看里面的东西,有 1 个数据库,有 1 个站点配置,1个定时计划 
 

 

 
 

通过在宝塔看web运行日志,或者分析源码结构,知道后台地址模块在/Admin
 

 

 

 

 

01 分析网站服务器检材, 网站搭建使用的服务器管理软件当前版本是否支持 32 位系统 
 

 
 
 

 

如图:
 

 

 

02 分析网站服务器检材, 数据库备份的频率是一周多少次
 

 
 
 

 

Linux中Crontab(定时任务)命令详解及使用教程_linux定时任务命令-CSDN博客
 

找到的数据库备份脚本, 猜测使用了 cron 设置了定时任,查看自动脚本任务 
 

 

crontab执行时间计算 - 在线工具 (tool.lu)
 

 
 

 

03 分析网站服务器检材, 数据库备份生成的文件的密码是
 

 
 
IvPGP/8vfTLtzQfJTmQhYg==
 

 

查看/root/backup.sh 脚本的内容:
 

 

AES_PASS=$(echo -n "$DB_NAME" | openssl enc -aes-256-cbc -a -salt -pass pass:mysecretpassword -nosalt) 为 des3 加密的密钥
 

#!/bin/bash

DB_USER="root"
DB_PASSWORD="root"
DB_NAME="2828"
BACKUP_PATH="/root/backup"

cd $BACKUP_PATH

DATE=$(date +%Y%m%d%H%M%S)

AES_PASS=$(echo -n "$DB_NAME" | openssl enc -aes-256-cbc -a -salt -pass pass:mysecretpassword -nosalt)

BACKUP_FILE_NAME="${DB_NAME}_${DATE}.sql"

mysqldump -u $DB_USER -p$DB_PASSWORD $DB_NAME > $BACKUP_FILE_NAME

File_Name="${DB_NAME}.sql.gz"

tar -czvf - $BACKUP_FILE_NAME | openssl des3 -salt -k $AES_PASS -out $File_Name

rm -rf  $BACKUP_FILE_NAME

mysqladmin -u $DB_USER -p$DB_PASSWORD drop $DB_NAME --force

 

前面有提及DB_NAME是2828.所以我们把它填进去,运行该指令可以得到密码:
 

 

 

 04 分析网站服务器检材, 网站前台首页的网站标题是
 

 
 
威尼斯
 

 

在宝塔的站点的域名管理中添加虚拟机 NAT 的 IP 地址:
 

 

但是访问发现直接跳转到google页面
 

下载源码,在网站index.php里发现了存在跳转的代码,直接注释就行
 

 

还有一个方法是修改host文件
 

在运行里输入:
 

C:\Windows\System32\drivers\etc\hosts选择使用记事本打开
 

 

然后添加内容,前面是你的虚拟机IP,后面是你自己网站的名字
 

分两行添加,点击保存
 

什么是host文件:
 

 
 
      &nbs


IM 服务器
 

仿真之后将虚拟机的网络连接类型改为 NAT. 由于服务器使用的是 DHCP, 并且开启了 sshd, 可以直接用 shell 连接工具连接.
 

 

可以看到服务器中运行着一个 docker 容器:
 

 

进入容器并且查看作为入口点的脚本 docker-entry.sh. 其中包含了 PostgreSQL 和 MatterMost 的配置文件信息:
 

docker exec -it 643626ab3d8b /bin/bash
 

PostgreSQL 的配置信息通过环境变量的方式传递
 

 

查看 /mm/mattermost/config/config-docker.json, 其中包含的关键信息
 

服务监听端口为 8065
 

 

SqlDriver 数据库的配置, 用户名 mmuser, 密码 mostest, 数据库 mattermost_test
 

 

使用浏览器访问 exit
 

ip:8065 可以访问 MatterMost 的 Web APP.
 

 

用 iptables 可以将容器内 PostgreSQL 使用的 5432 端口映射到虚拟机的 5432 端口, 以便后续使用工具连接:
 

docker inspect 643626ab3d8b | grep IPAddress
iptables -t nat -A DOCKER -p tcp --dport 5432 -j DNAT --to-destination 172.17.0.2:5432
 

 

通过navicatssh连接,连接容器内的pg数据库
 

 

 

在数据库的 user 表中可以看到加密存储的密码, 加密类型为 bcrypt.
 

 

都修改为123456
 

 

 

成功登录
 

 

 

 

 

分析内部IM服务器检材,在搭建的内部即时通讯平台中,客户端与服务器的通讯端口是:[答案格式:8888][★☆☆☆☆]
 

 
 
8065
 

 

docker ps 可以看到其外部转发的是8065端口
 

或者 docker inspect 643626ab3d8b | grep -i port
 

 

分析内部IM服务器检材,该内部IM平台使用的数据库版本是: [答案格式:12.34][★★☆☆☆]
 

 
 
12.18
 

 

docker inspect 643626ab3d8b | grep -i version
 

 

或者直接sql语句查询
 

 

 

分析内部IM服务器检材,该内部IM平台中数据库的名称是:[答案格式:小写][★★☆☆☆]
 

 
 
mattermost_test
 

 

之前的方法或者看环境变量
 

docker inspect 64 | grep -i env -C 10
 

 

docker inspect 643626ab3d8b | grep -i db 也行
 

 

分析内部IM服务器检材,该内部IM平台中当前数据库一共有多少张表:[答案格式:1][★★☆☆☆]
 

 
 
82
 

 

 

 

分析内部IM服务器检材,员工注册的邀请链接中,邀请码是:[答案格式:小写数字字母][★★★☆☆]
 

 
 
54d916mu6p858bbyz8f88rmbmc
 

 

在数据库的 teams 表中可以看到团队信息, 其中的 inviteid 是邀请码.
 

 

 

 

分析内部IM服务器检材,用户yiyan一共给fujiya发送了几个视频文件:[答案格式:数字][★★★☆☆]
 

 
 
2
 

 

登录yiyan的账号,传了2个视频和4个音频
 

 

 

 

分析内部IM服务器检材,用户yiyan在团队群组中发送的视频文件的MD5值是:[答案格式:小写][★★★☆☆]
 

 
 
f8adb03a25be0be1ce39955afc3937f7
 

 

查看频道的聊天记录,将yiyan上传的视频下载下来直接计算
 

 

 

分析内部IM服务器检材,一个团队中允许的最大用户数是:[答案格式:数字][★★★★☆]
 

 
 
50
 

 

登录管理员账号, 在后台可以看到相关设置:
 

 

 

分析内部IM服务器检材,黑客是什么时候开始攻击:[答案格式:2024-01-01-04-05][★★★☆☆]
 

Z代表UTC时间,需要+8
 

2024-04-25-15-33
 

 

 

 

WEB 服务器
 

直接仿真之后将虚拟机的网络连接类型改为 NAT.
 

由于服务器使用的是 DHCP, 并且开启了 sshd, 可以直接用 shell 连接工具连接.
 

连接之后可以在 /root 目录下看到用于备份数据库的 backup.sh 和存放备份文件的 backup 目录.
 

 

还可以看到用于安装宝塔面板的 install.sh 脚本.
 

 

通过 bt 命令, 查看宝塔面板的相关信息并修改密码
 

 

 访问  http://192.168.59.4:39802/39c115ad 使用修改后信息登录宝塔面板:
 

简单看看里面的东西,有 1 个数据库,有 1 个站点配置,1个定时计划 
 

 

 
 

通过在宝塔看web运行日志,或者分析源码结构,知道后台地址模块在/Admin
 

 

 

 

 

01 分析网站服务器检材, 网站搭建使用的服务器管理软件当前版本是否支持 32 位系统 
 

 
 
 

 

如图:
 

 

 

02 分析网站服务器检材, 数据库备份的频率是一周多少次
 

 
 
 

 

Linux中Crontab(定时任务)命令详解及使用教程_linux定时任务命令-CSDN博客
 

找到的数据库备份脚本, 猜测使用了 cron 设置了定时任,查看自动脚本任务 
 

 

crontab执行时间计算 - 在线工具 (tool.lu)
 

 
 

 

03 分析网站服务器检材, 数据库备份生成的文件的密码是
 

 
 
IvPGP/8vfTLtzQfJTmQhYg==
 

 

查看/root/backup.sh 脚本的内容:
 

 

AES_PASS=$(echo -n "$DB_NAME" | openssl enc -aes-256-cbc -a -salt -pass pass:mysecretpassword -nosalt) 为 des3 加密的密钥
 

#!/bin/bash

DB_USER="root"
DB_PASSWORD="root"
DB_NAME="2828"
BACKUP_PATH="/root/backup"

cd $BACKUP_PATH

DATE=$(date +%Y%m%d%H%M%S)

AES_PASS=$(echo -n "$DB_NAME" | openssl enc -aes-256-cbc -a -salt -pass pass:mysecretpassword -nosalt)

BACKUP_FILE_NAME="${DB_NAME}_${DATE}.sql"

mysqldump -u $DB_USER -p$DB_PASSWORD $DB_NAME > $BACKUP_FILE_NAME

File_Name="${DB_NAME}.sql.gz"

tar -czvf - $BACKUP_FILE_NAME | openssl des3 -salt -k $AES_PASS -out $File_Name

rm -rf  $BACKUP_FILE_NAME

mysqladmin -u $DB_USER -p$DB_PASSWORD drop $DB_NAME --force

 

前面有提及DB_NAME是2828.所以我们把它填进去,运行该指令可以得到密码:
 

 

 

 04 分析网站服务器检材, 网站前台首页的网站标题是
 

 
 
威尼斯
 

 

在宝塔的站点的域名管理中添加虚拟机 NAT 的 IP 地址:
 

 

但是访问发现直接跳转到google页面
 

下载源码,在网站index.php里发现了存在跳转的代码,直接注释就行
 

 

还有一个方法是修改host文件
 

在运行里输入:
 

C:\Windows\System32\drivers\etc\hosts选择使用记事本打开
 

 

然后添加内容,前面是你的虚拟机IP,后面是你自己网站的名字
 

分两行添加,点击保存
 

什么是host文件:
 

 
 
      &nbs



                本文标签:
                盘古题解

                        版权声明:本文标题:2024盘古石取证晋级赛题解 内容由热心网友自发贡献,该文观点仅代表作者本人,
                        转载请联系作者并注明出处:https://it.en369.cn/jiaocheng/1763980944a2976643.html,
                        本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。