Q1:林浚熙的计算机安装了多少台虚拟机 (Virtual Machine – VM)?
用我最喜欢的 FileLocatorPro(或取证软件)搜索 .vmx,出现几个就有几个虚拟机
Q2:林浚熙的计算机里的虚拟机 (VM) 存放在什么路径?
A.\Program Files\Virtual Machines
B.\User\HEI\Roaming\Virtual Machines
C.\Users\Public\Documents\Virtual Machines
D.\Users\HEI\Documents\Virtual Machines
有四个答案,你选择哪个 O.o ?
Q3:虚拟机 (VM) 使用什么版本的作业系统 (Operating System)?
打开上面的 vmx 文件,就能看到系统版本。如果你不放心,觉得可能设坑的话就仿真起来看
Q4:虚拟机 (VM) 中的文件传输服务器 (FTP Server) 有哪些用户?
虚拟机中开启虚拟机,不是高配电脑可以把 Ubuntu 文件夹拷贝出来。还有一个好处是,如果你不会手动饶密,可以仿真 VMDK 文件。
在Linux内核的系统中,一般 vsftpd 最常见,ProFTPD、FileZilla 大家可能也见过。将 Ubuntu 虚拟机开启后,利用 lsof -i 看一下是否有 ftp 服务正在运行。
知道有vsftpd服务,cat /etc/vsftpd.chroot_list 查看列表,就两个用户 root 和 ftpuser
Q5:虚拟机设置了什么网页服务器 (Web Server)?
首先看Q4的图有Apache,但是这里不能忘记还要检查 docker 容器!
Q6:网页服务器目录内有图片档案,而此档案的储存位置是?
这个是给了5个选项,通过取证软件检索一下即可。当然我的手动做法是将这几个目录导出来,利用 FileLocatorPro 进行检索。
Q7:分析网页服务器的网站数据,假网站的公司名称是什么?
先用本地IP访问,发现是 Apache Default Page 默认界面。简单暴力,直接检索下所有 php 文件,靠经验来判断一下。
就几个php文件(毕竟是模拟案件),查看了一下 index.php 感觉八九不离十了,访问二级目录成功解题。
Q8:检视假网站首页的显示, ‘AY806369745HK’ 代表什么?
Q7图片已经给出答案了,邮件号码。突发奇想:不会是写死的页面吧?
可以用我第一段命令 grep – r “AY….HK” . 来检索(可能速度慢点,但做题轻松点),上面两道题目不也就可以更快的判断出来了?
Q9:分析假网站的资料,当受害人经假网站输入数据后,网站会产生一个档案,它的档案名是什么?
F12先调试一下,随便填写提交后跳转到了 process.php,对此文件进行分析
找到如下代码,得出 vu.txt 。虽然目录下有这个文件能够初步判断,但是我光从下面这段代码无法准确判断,那谁叫这是模拟的呢,总会有一些小 bug 出现。
Q10:分析假网站档案 ‘process.php’ 源码 (Source Code), 推测此档案的用途可能是?
1、代码中查看到 use PHPMailer\PHPMailer\SMTP 调用了邮件传输协议类;
2、Q9的题目就已经有了答案:产生档案。但是 fopen、fwrite、fclose 这三个函数只有打开、修改、关闭的功能,并没有直接生成文件的功能,可能是香港说法的问题(欢迎评论纠错)。
Q11:检视档案 ‘process.php’ 源码, 林浚熙的电邮密码是?
Q12:分析档案 ‘process.php’ 源码, 它不会收集哪些资料?
基本上就是这几段代码(可看Q9第二张图片),判断出收集了 邮箱、信用卡号
$fOpen = fopen($resultFile, “a”);
fwrite($fOpen, “Date & Time: “.$dateTime.”\n”);
fwrite($fOpen, “Card Holder: “.$holdername.”\n”);
fwrite($fOpen, “Card no.: “.$cardno.”\n”);
fwrite($fOpen, “cvv: “.$cvv.”\n”);
fwrite($fOpen, “expire date: “.$exp_mth.”/”.$exp_yr.”\n”);
fwrite($fOpen, “Email: “.$email.”@”.$email_domn.”\n”);
fwrite($fOpen, “Browser Info: “.$browser.”\n”);
fwrite($fOpen, “\n”); //End of Entry
fclose($fOpen);
Q13:虚拟机 (VM) 安装了 Docker 程序,列出一个以’5’作为开端的 ‘Docker’ 镜像 (Image) ID
命令:docker image 解决
Q14:Docker 容器 (Container) ‘mysql’ 对外开放的通讯端口 (Port) 是?
先使用 docker start 启动一下 mysql 服务,再使用 docker ps -a 查看端口为 43306
Q15:Docker容器 ‘mysql’,用户 ‘root’ 的密码是?
history 看一下有没 docker 启动 mysql 的记录,不要想的太复杂。
docker run –name mysql -p 13306:3306 -e MYSQL_ROOT_PASSWORD=2wsx3edc -d mysql:latest
Q16:Docker容器 ‘mysql’ 里哪一个数据库储存了大量个人资料?
做题 Navicat 直接解决,下面采用最古老的方式:
先进Mysql的容器,命令:docker exec -it 容器id bash,再登陆Mysql,命令:mysql -u root -p密码
只有一个创建的库 krickpost,其他都是 MySQL 自带的核心库..
25000多条数据,主要还是看字段名,Name、Tel 能猜到是用户表
Q17:检视 Docker 容器 ‘mysql’ 内数据库里的资料,李大辉的出生日期是?
基础查询命令:select D0B from krickpost where Name=’李大辉’ ,好吧虚拟机打不了中文,还是得连接SSH或Navicat找。
SSH没有设置密码登陆,需要编辑 /etc/ssh/sshd_config ,把 PasswordAuthentication 和 PermitRootLogin 都设置为 yes,systemctl restart sshd 重启服务即可。连接Navicat的话需要记得修改端口号为 43306,不是3306。
忘记是英文名称了,李大辉应该是 Li Ta Hui,不管对不对思路学到了就行!
