数证杯初赛服务器取证

博主： 0x0111
发布时间：2025 年 09 月 28 日
97 次浏览
16764字数
分类：复现取证

数证杯初赛服务器取证

1. 对服务器检材进行分析，站点服务器可能是从哪个云服务平台上调证过来的？（填写汉字，答案格式：亿速云）

阿里云

$![image-20250926081620556](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926081620556.png)$

火眼仿真，在加载的时候，系统盘和数据盘前后挂载

2. 对服务器检材进行分析，站点服务器中数据库的密码是？（按实际值填写）

Sxy000**

有一个jar包

步骤

ss -lntp
查看正在运行的端口程序

nginx -T

查看nginx是哪种配置

利用nginx+php+mysql的组合搭配。第二种是jar+nginx+mysql。第二种的nginx只做反向代理的作用。
反向代理的标识为peoxy_pass http:

find / -name *.jar（排除openjdk-x.x.xxx）或者 history | grep .jar

查看jar包位置

下载到本机后，利用命令jar -xvf example.jar解压

看application.yaml中active的值，确定正在使用的包是哪一个

$![image-20250926092551734](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926092551734.png)$

然后到对应的包查看配置

数据库密码在下面的结构里

spring:
  datasource:
    password:

3. 对服务器检材进行分析，站点服务器用于提供服务发现的工具名是？（答案格式：zookeeper）

Consul

根据服务器检材中的历史命令分析，站点服务器用于提供服务发现的工具是 Consul。
关键证据：
安装 Consul：
命令 31-35、41-50 显示通过 HashiCorp 的 yum 仓库安装 Consul，或下载并解压 Consul 的二进制包。
配置和启动 Consul：
命令 53-57 显示创建了 consul.sh 脚本并执行，用于启动 Consul 服务。
命令 63 测试 Consul 的 API 接口（curl 127.0.0.1:8500），Consul 默认使用 8500 端口提供服务发现和健康检查等功能。
Consul 服务确认：
命令 641 再次执行 ./consul.sh 启动 Consul，表明该工具是持续运行的服务发现工具。
因此，站点服务器用于提供服务发现的工具是 Consul。

4. 对服务器检材进行分析，站点服务器数据库配置文件名是？（答案格式：database.php）

application-sxj.yaml

第二题找到的文件

5. 对服务器检材进行分析，该网站涉及的APP名称是？（答案格式：微信）

顺心借

在配置文件的最后部分有明确的APP配置：
yaml
app:
name: 顺心借
user_name: 47892eff-bf47-430f-af4a-26d5992e2013
password: 2957aad5-0f29-4575-86c0-6504e5154ef4

$![image-20250926093534496](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926093534496.png)$

6. 对服务器检材进行分析，该网站用于存储大量身份证照的OSS中的AccessKeyID后八位是？（答案格式：按实际值填写）

EuZJybzD

$![image-20250926093642812](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926093642812.png)$

7. 对服务器检材进行分析，站点服务器用于消息转发代理工具所使用的端口号是？（填写数字，答案格式：3306）

消息转发代理工具（RabbitMQ）

$![image-20250926093750813](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926093750813.png)$

8. 对服务器检材进行分析，站点服务器用于启动定时任务的代码片段存在于？（答案格式：LoginIndex.class）

MobileStatusTask.class

$![image-20250926094539853](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926094539853.png)$

$![image-20250926094634302](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926094634302.png)$

9. 对服务器检材进行分析，站点服务器用于验证用户输入的验证码是否匹配的代码片段存在于？（答案格式：LoginIndex.class）

AdminIndexConller.class

$![image-20250926095028608](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926095028608.png)$

$![image-20250926095016549](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926095016549.png)$

10. 对服务器检材进行分析，数据库服务器中Docker容器镜像中mysql的镜像ID号前6位是？（答案格式：123asd）

23b013

之前理解错误了，这两个E01是分别加载的，就是两部完整独立的虚拟机，并不是前后加载在同一个虚拟机里。

docker在data虚拟机里面

先输入

ss -lntp

查看服务打开情况，没看到docker

systemctl start docker

启动

然后docker images

$![image-20250926193702471](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926193702471.png)$

11. 对服务器检材进行分析，数据库服务器中DockerCompose的版本号是？（答案格式：1.1.1）

2.27.1

docker-compose --version未响应

用docker compose version

$![image-20250926195641016](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926195641016.png)$

$![image-20250926195144224](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926195144224.png)$

12. 对服务器检材进行分析，数据库服务器中用于存储后台登录账号的数据表名是？（答案格式：login）

sys_user

$![image-20250926195439645](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926195439645.png)$

13. 对服务器检材进行分析，后台管理员“xpt-0”所绑定的手机号码是？（答案格式：13001880188）

19521510863

$![image-20250926201052383](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926201052383.png)$

14. 对服务器检材进行分析，用户首次借款初始额度是？（填写数字，答案格式：1）

$![image-20250926201453144](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926201453144.png)$

15. 对服务器检材进行分析，受害者在平台中一共结款了几次？（填写数字，答案格式：1）

![image-20250928162236802](https://gitee.com/saga131/mypic/raw/master/img/image-20250928162236802.png)

搭建网站

上半部分是我绕弯的历程，成功复现部分在下半边

$![image-20250926202659649](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926202659649.png)$

data虚拟机有固定的ip 192.168.160.150

然后在虚拟网络编辑器中新建一个VMnet，设置为仅主机，子网ip设置为192.168.160.0，DHCP设置从192.168.160.150开始到255结束

然后两个虚拟机都用这个VMnet，data虚拟机用命令systemctl restart network重启一下网卡，然后ip a查看一下修改后的ip

$![image-20250926203622653](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926203622653.png)$

主机分别ping一下
$![image-20250926204657194](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926204657194.png)$

然后重置一下data虚拟机中docker容器f2 中的mysql的密码

docker mysql8.0绕密

docker exec -it f29ed5271c46 sed -i '/\[mysqld\]/a skip-grant-tables' /etc/my.cnf

作用：在MySQL配置文件的[mysqld]段落下添加skip-grant-tables
效果：让MySQL启动时跳过权限验证，无需密码即可登录

![image-20250928144354721](https://gitee.com/saga131/mypic/raw/master/img/image-20250928144354721.png)

如果显示这个

systemctl start docker

docker restart f29ed5271c46

作用：重启Docker容器使配置生效

无密码登录docker容器中的mysql

docker exec -it f29ed5271c46 mysql -uroot

mysql命令

刷新权限

FLUSH PRIVILEGES;

进入mysql数据库（存放密码的user表在mysql数据库中）

use mysql;

修改root密码（同时修改了远程连接的账号密码）

ALTER USER 'root'@'localhost' IDENTIFIED BY '123456';
ALTER USER 'root'@'%' IDENTIFIED BY '123456';

刷新权限并退出

FLUSH PRIVILEGES;
exit;

把一开始的skip-grant-tables配置移除，恢复正常权限登录

docker exec -it f2 sed -i '/skip-grant-tables/d' /etc/my.cnf
docker restart f2

其中的f29ed5271c46是docker容器id

修改管理员登录限制

docker exec -it f2 mysql -uroot -p
123456
UPDATE sxj_prod.sys_user SET state = 0 WHERE id = 23;

需要对历史命令记录查看，在system的虚拟机将所需要的软件启动

$![image-20250926214735784](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926214735784.png)$

建议将源文件导出，用记事本查看，这样比筛选出来的更好，因为能看到不包括关键词的命令

$![image-20250926215016852](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926215016852.png)$

启动consul（consul.sh）与rabbitmq

./consul.sh

rabbitmq 启动需要修改data虚拟机的host文件

vi /etc/hosts

删除 172.20.148.2 那一行，添加192.168.160.159 iZbp1gma2uf9hvsnbu9mdkZ

正确的host文件应该为

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.160.159 iZbp1gma2uf9hvsnbu9mdkZ

然后重启rabbitmq

systemctl restart rabbitmq-server

接下来重启jar包

$![image-20250926215329523](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926215329523.png)$

cd /
java -jar /data/cal-0.0.1-SNAPSHOT.jar

或者

nohup java -jar -Xms4096M -Xmx4096M -Xmn3072M -Xss1M -XX:PermSize=256M -XX:MaxPermSize=256M /data/cal-0.0.1-SNAPSHOT.jar &

下面这个不会占用命令行窗口，但是看不到报错信息

反向代理

find ./ -type f -exec sed -i 's/47.96.140.186/192.168.160.159/g' {} +

其中的192.168.160.152需要换成system具体分到的ip

$![image-20250926215823361](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926215823361.png)$

我是159

然后在同一目录下，修改一下，因为登录是需要手机验证码的

redis-cli -a Sxy000**

set ADMIN-PHONE18888888888 666666

然后修改数据库中用户的状态（state 0表示未禁用）

在data虚拟机

docker exec -it f2 mysql -uroot -p123456
SHOW DATABASES;
use sxj_prod;
show tables;
desc sys_user;
select * from sys_user;
UPDATE sys_user SET state = 0 WHERE state = 1;

忘记改数据库配置了。。。（明天来）

数据库在jar包里面，在一个临时文件夹解压

cd temp_dir
jar -xf ../cal-0.0.1-SNAPSHOT.jar

![image-20250927183025219](https://gitee.com/saga131/mypic/raw/master/img/image-20250927183025219.png)

修改ip

寻找47.96.140.186，改成system服务器的ip 我的是192.168.160.159

另一个同名本地文件也改

![image-20250927183328695](https://gitee.com/saga131/mypic/raw/master/img/image-20250927183328695.png)

改好重新打包为jar

jar -cfM0 cal-0.0.1-SNAPSHOT.jar ./

然后覆盖

重启一下java jar

还需要将yaml文件里面的连接url修改

![image-20250927185926343](https://gitee.com/saga131/mypic/raw/master/img/image-20250927185926343.png)

将

spring.datasource.url=jdbc:mysql://rm-bp18td28bsh13f5jy.mysql.rds.aliyuncs.com:3306/数据库名

改为

spring.datasource.url=jdbc:mysql://192.168.160.159:3306/数据库名

同时还需要将下面的账号密码改为之前绕过mysql所设的root和123456

好像ip搞错了

重新开始配吧，要记住每台虚拟机的ip (同学，复现从这里开始跟着)

看这篇来复现
2024数证杯电子数据取证分析大赛初赛服务器部分 Writeup | ZhangZ-Blog
多找找文章，搜数证杯初赛服务器

data.E01

ip: 192.168.160.150

作用：docker上有mysql的数据库

![image-20250927212151186](https://gitee.com/saga131/mypic/raw/master/img/image-20250927212151186.png)

system.E01

ip:192.168.160.159

作用：有java，网站jar包（里面存有sxj的配置yaml文件application-sxj.yaml），consul，redis（消息转发，也就是发短信验证码，并存储比对的软件）

![image-20250927212138308](https://gitee.com/saga131/mypic/raw/master/img/image-20250927212138308.png)

连上data.E01的docker容器mysql的数据库

ip：192.168.160.150

看一下主机是否能ping通

绕过Mysql的账密，步骤在上面，需要额外添加一个账号，后面要把阿里云的链接改为连data.E01的数据库，所以要在这新建一个账号

CREATE USER 'sxy'@'%' IDENTIFIED WITH mysql_native_password BY 'Sxy000**';  

GRANT ALL PRIVILEGES ON sxj_prod.* TO 'sxy'@'%';

用Navicat连接

![image-20250928150528347](https://gitee.com/saga131/mypic/raw/master/img/image-20250928150528347.png)

需要将sxy的plugin改为mysql_native_password

接下来换虚拟机 system.E01

因为配置文件中连的是阿里云的数据库

![image-20250928153332161](https://gitee.com/saga131/mypic/raw/master/img/image-20250928153332161.png)

需要将ip改为data.E01的ip，下面的账号密码填在上面的data容器数据库中

vim /etc/hosts

可以看到初始是

![2](https://gitee.com/saga131/mypic/raw/master/img/image-20250928154047540.png)

改为

data.E01的ip rm-bp18td28bsh13f5jy.mysql.rds.aliyuncs.com

验证一下

ping rm-bp18td28bsh13f5jy.mysql.rds.aliyuncs.com

![image-20250928154256021](https://gitee.com/saga131/mypic/raw/master/img/image-20250928154256021.png)

还需要将本地127改为127.0.0.1 iZbp1gma2uf9hvsnbu9mdkZiZbp1gma2uf9hvsnbu9mdkZ

然后我们去Navicat，启用一个手机号，sxj_prod的sys_user

![image-20250928154501372](https://gitee.com/saga131/mypic/raw/master/img/image-20250928154501372.png)

0为启用，1为禁止

还是在system.E01中，做启动rabbitmq前期准备工作

将/www/admin中所有的47.96.140.186变成我们system.E01的ip

find /www/admin -type f -name "*.js" -exec sed -i 's/47.96.140.186/system.E01的ip/g' {} +

启动两个

/root/consul.sh
/data/jar.sh

![image-20250928155305955](https://gitee.com/saga131/mypic/raw/master/img/image-20250928155305955.png)

发现
![image-20250928155400961](https://gitee.com/saga131/mypic/raw/master/img/image-20250928155400961.png)

应该是没开jar包

java -jar /data/cal-0.0.1-SNAPSHOT.jar

登录上网站

http://192.168.160.159:82/

仍然在system.E01

发送短信验证码

redis-cli -a Sxy000**
# 验证码是1234
set ADMIN-PHONE18888888888 1234
EXPIRE ADMIN-PHONE18888888888 600

![image-20250928163441193](https://gitee.com/saga131/mypic/raw/master/img/image-20250928163441193.png)

登入上

但是说xpt-1被禁用，对照了一下是这个手机号

![image-20250928160513468](https://gitee.com/saga131/mypic/raw/master/img/image-20250928160513468.png)

前面修改改错了，应该改的是state，不是type

![image-20250928160652420](https://gitee.com/saga131/mypic/raw/master/img/image-20250928160652420.png)

登入上

![image-20250928160710217](https://gitee.com/saga131/mypic/raw/master/img/image-20250928160710217.png)

16. 对服务器检材进行分析，该平台中所有下单用户成功完成订单总金额是？（填写数字，答案格式：1）

11408100

![image-20250928160846649](https://gitee.com/saga131/mypic/raw/master/img/image-20250928160846649.png)

有师傅的文章写的是11066700，我也不知道为什么显示错误

有可能是因为登录的手机号不同吗

登录了13238424249账号，也是显示11408100，假设错误。

![image-20250928164634322](https://gitee.com/saga131/mypic/raw/master/img/image-20250928164634322.png)

更换了浏览器也是这个数

![image-20250928164921770](https://gitee.com/saga131/mypic/raw/master/img/image-20250928164921770.png)

疑惑，希望有师傅能解答一下。

17. 对服务器检材进行分析，该平台中逾期费率是？（答案格式：1.1）

0.1

![image-20250928161344382](https://gitee.com/saga131/mypic/raw/master/img/image-20250928161344382.png)

18. 对服务器检材进行分析，该平台中累计还款总金额是？（填写数字，答案格式：1）

10194700

![image-20250928163644617](https://gitee.com/saga131/mypic/raw/master/img/image-20250928163644617.png)

19. 对服务器检材进行分析，该平台总共设置了多少种借款额度？（填写数字，答案格式：1）

![image-20250928164049317](https://gitee.com/saga131/mypic/raw/master/img/image-20250928164049317.png)

19 - 1，有一个被禁用了（操作显示“启用”）

20. 对服务器检材进行分析，该平台一共有多少个借款渠道？（填写数字，答案格式：1）

![image-20250928164228672](https://gitee.com/saga131/mypic/raw/master/img/image-20250928164228672.png)

在点击激活状态后，需要切换一下页面，数据才会从140更新到131

21. 对服务器检材进行分析，该平台对已完成用户收取了总计多少元服务费，结果精确到整数？（填写数字，答案格式：123）

![image-20250928164432748](https://gitee.com/saga131/mypic/raw/master/img/image-20250928164432748.png)

参考：
https://www.zhangz.cc/2024/11/22/488/index.html
https://ooqoww.top/2025/04/04/shuzhengbei
https://mp.weixin.qq.com/s/oxjD0tMKdfcl1SFTnjeYyA
排序不分前后，感谢前辈解疑答惑

最后修改：2025 年 09 月 28 日

很强的定力

数证杯初赛服务器取证

0x0111 • 2025 年 09 月 28 日

<h2>数证杯初赛服务器取证</h2><h3>1. 对服务器检材进行分析，站点服务器可能是从哪个云服务平台上调证过来的？（填写汉字，答案格式：亿速云）</h3><pre><code>阿里云</code></pre><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/2089517016.png" alt="![image-20250926081620556](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926081620556.png)" title="![image-20250926081620556](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926081620556.png)" style="">火眼仿真，在加载的时候，系统盘和数据盘前后挂载<h3>2. 对服务器检材进行分析，站点服务器中数据库的密码是？（按实际值填写）</h3><pre><code>Sxy000**</code></pre>有一个jar包步骤ss -lntp 查看正在运行的端口程序nginx -T查看nginx是哪种配置<blockquote>利用nginx+php+mysql的组合搭配。第二种是jar+nginx+mysql。第二种的nginx只做反向代理的作用。反向代理的标识为peoxy_pass http:</blockquote>find / -name *.jar（排除openjdk-x.x.xxx） 或者 history | grep .jar查看jar包位置下载到本机后，利用命令<code>jar -xvf example.jar</code>解压看<code>application.yaml</code>中active的值，确定正在使用的包是哪一个<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/2206597570.png" alt="![image-20250926092551734](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926092551734.png)" title="![image-20250926092551734](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926092551734.png)" style="">然后到对应的包查看配置数据库密码在下面的结构里<pre><code>spring:
 datasource:
 password: </code></pre><h3>3. 对服务器检材进行分析，站点服务器用于提供服务发现的工具名是？（答案格式：zookeeper）</h3><pre><code>Consul</code></pre><blockquote>根据服务器检材中的历史命令分析，站点服务器用于提供服务发现的工具是 Consul。关键证据：<ol><li>安装 Consul：<ul><li>命令 31-35、41-50 显示通过 HashiCorp 的 yum 仓库安装 Consul，或下载并解压 Consul 的二进制包。</li></ul></li><li>配置和启动 Consul：<ul><li>命令 53-57 显示创建了 <code>consul.sh</code> 脚本并执行，用于启动 Consul 服务。</li><li>命令 63 测试 Consul 的 API 接口（<code>curl 127.0.0.1:8500</code>），Consul 默认使用 8500 端口提供服务发现和健康检查等功能。</li></ul></li><li>Consul 服务确认：<ul><li>命令 641 再次执行 <code>./consul.sh</code> 启动 Consul，表明该工具是持续运行的服务发现工具。</li></ul></li></ol>因此，站点服务器用于提供服务发现的工具是 Consul。</blockquote><h3>4. 对服务器检材进行分析，站点服务器数据库配置文件名是？（答案格式：database.php）</h3><pre><code>application-sxj.yaml</code></pre>第二题找到的文件<h3>5. 对服务器检材进行分析，该网站涉及的APP名称是？（答案格式：微信）</h3><pre><code>顺心借</code></pre><blockquote>在配置文件的最后部分有明确的APP配置：yaml<pre><code>app:
name: 顺心借
user_name: 47892eff-bf47-430f-af4a-26d5992e2013
password: 2957aad5-0f29-4575-86c0-6504e5154ef4</code></pre></blockquote><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/2106278356.png" alt="![image-20250926093534496](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926093534496.png)" title="![image-20250926093534496](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926093534496.png)" style=""><h3>6. 对服务器检材进行分析，该网站用于存储大量身份证照的OSS中的AccessKeyID后八位是？（答案格式：按实际值填写）</h3><pre><code>EuZJybzD</code></pre><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/1161594569.png" alt="![image-20250926093642812](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926093642812.png)" title="![image-20250926093642812](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926093642812.png)" style=""><h3>7. 对服务器检材进行分析，站点服务器用于消息转发代理工具所使用的端口号是？（填写数字，答案格式：3306）</h3><pre><code>5672</code></pre>消息转发代理工具（RabbitMQ）<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/3506539357.png" alt="![image-20250926093750813](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926093750813.png)" title="![image-20250926093750813](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926093750813.png)" style=""><h3>8. 对服务器检材进行分析，站点服务器用于启动定时任务的代码片段存在于？（答案格式：LoginIndex.class）</h3><pre><code>MobileStatusTask.class</code></pre><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/481435044.png" alt="![image-20250926094539853](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926094539853.png)" title="![image-20250926094539853](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926094539853.png)" style=""><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/1529113168.png" alt="![image-20250926094634302](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926094634302.png)" title="![image-20250926094634302](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926094634302.png)" style=""><h3>9. 对服务器检材进行分析，站点服务器用于验证用户输入的验证码是否匹配的代码片段存在于？（答案格式：LoginIndex.class）</h3><pre><code>AdminIndexConller.class</code></pre><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/3508817685.png" alt="![image-20250926095028608](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926095028608.png)" title="![image-20250926095028608](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926095028608.png)" style=""><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/672930321.png" alt="![image-20250926095016549](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926095016549.png)" title="![image-20250926095016549](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926095016549.png)" style=""><h3>10. 对服务器检材进行分析，数据库服务器中Docker容器镜像中mysql的镜像ID号前6位是？（答案格式：123asd）</h3><pre><code>23b013</code></pre>之前理解错误了，这两个E01是分别加载的，就是两部完整独立的虚拟机，并不是前后加载在同一个虚拟机里。docker在data虚拟机里面先输入ss -lntp查看服务打开情况，没看到dockersystemctl start docker启动然后docker images<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/3320722752.png" alt="![image-20250926193702471](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926193702471.png)" title="![image-20250926193702471](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926193702471.png)" style=""><h3>11. 对服务器检材进行分析，数据库服务器中DockerCompose的版本号是？（答案格式：1.1.1）</h3><pre><code>2.27.1</code></pre>docker-compose --version未响应用docker compose version<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/2848400164.png" alt="![image-20250926195641016](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926195641016.png)" title="![image-20250926195641016](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926195641016.png)" style=""><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/1317097781.png" alt="![image-20250926195144224](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926195144224.png)" title="![image-20250926195144224](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926195144224.png)" style=""><h3>12. 对服务器检材进行分析，数据库服务器中用于存储后台登录账号的数据表名是？（答案格式：login）</h3><pre><code>sys_user</code></pre><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/1016428143.png" alt="![image-20250926195439645](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926195439645.png)" title="![image-20250926195439645](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926195439645.png)" style=""><h3>13. 对服务器检材进行分析，后台管理员“xpt-0”所绑定的手机号码是？（答案格式：13001880188）</h3><pre><code>19521510863</code></pre><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/223926678.png" alt="![image-20250926201052383](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926201052383.png)" title="![image-20250926201052383](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926201052383.png)" style=""><h3>14. 对服务器检材进行分析，用户首次借款初始额度是？（填写数字，答案格式：1）</h3><pre><code>4000</code></pre><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/1740515763.png" alt="![image-20250926201453144](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926201453144.png)" title="![image-20250926201453144](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926201453144.png)" style=""><h3>15. 对服务器检材进行分析，受害者在平台中一共结款了几次？（填写数字，答案格式：1）</h3><pre><code>1857</code></pre><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/3332861679.png" alt="![image-20250928162236802](https://gitee.com/saga131/mypic/raw/master/img/image-20250928162236802.png)" title="![image-20250928162236802](https://gitee.com/saga131/mypic/raw/master/img/image-20250928162236802.png)" style="">搭建网站上半部分是我绕弯的历程，成功复现部分在下半边<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/2696583875.png" alt="![image-20250926202659649](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926202659649.png)" title="![image-20250926202659649](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926202659649.png)" style="">data虚拟机有固定的ip 192.168.160.150然后在虚拟网络编辑器中新建一个VMnet，设置为仅主机，子网ip设置为192.168.160.0，DHCP设置从192.168.160.150开始到255结束然后两个虚拟机都用这个VMnet，data虚拟机用命令<code>systemctl restart network</code>重启一下网卡，然后<code>ip a</code>查看一下修改后的ip<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/244661254.png" alt="![image-20250926203622653](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926203622653.png)" title="![image-20250926203622653](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926203622653.png)" style="">主机分别ping一下 <img src="http://happyprimes.cn/blog/usr/uploads/2025/09/888903510.png" alt="![image-20250926204657194](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926204657194.png)" title="![image-20250926204657194](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926204657194.png)" style="">然后重置一下data虚拟机中docker容器f2 中的mysql的密码<h5>docker mysql8.0绕密</h5><pre><code class="lang-bash">docker exec -it f29ed5271c46 sed -i '/\[mysqld\]/a skip-grant-tables' /etc/my.cnf</code></pre><ul><li>作用：在MySQL配置文件的<code>[mysqld]</code>段落下添加<code>skip-grant-tables</code></li><li>效果：让MySQL启动时跳过权限验证，无需密码即可登录</li></ul><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/2144995052.png" alt="![image-20250928144354721](https://gitee.com/saga131/mypic/raw/master/img/image-20250928144354721.png)" title="![image-20250928144354721](https://gitee.com/saga131/mypic/raw/master/img/image-20250928144354721.png)" style="">如果显示这个<pre><code class="lang-bash">systemctl start docker</code></pre><pre><code class="lang-bash">docker restart f29ed5271c46</code></pre><ul><li>作用：重启Docker容器使配置生效</li></ul>无密码登录docker容器中的mysql<pre><code class="lang-bash">docker exec -it f29ed5271c46 mysql -uroot</code></pre>mysql命令刷新权限<pre><code class="lang-mysql">FLUSH PRIVILEGES;</code></pre>进入mysql数据库（存放密码的user表在mysql数据库中）<pre><code class="lang-mysql">use mysql;</code></pre>修改root密码（同时修改了远程连接的账号密码）<pre><code class="lang-mysql">ALTER USER 'root'@'localhost' IDENTIFIED BY '123456';
ALTER USER 'root'@'%' IDENTIFIED BY '123456';</code></pre>刷新权限并退出<pre><code class="lang-mysql">FLUSH PRIVILEGES;
exit;</code></pre>把一开始的<code>skip-grant-tables</code>配置移除，恢复正常权限登录<pre><code class="lang-bash">docker exec -it f2 sed -i '/skip-grant-tables/d' /etc/my.cnf
docker restart f2</code></pre>其中的f29ed5271c46是docker容器id修改管理员登录限制<pre><code>docker exec -it f2 mysql -uroot -p
123456
UPDATE sxj_prod.sys_user SET state = 0 WHERE id = 23; </code></pre>需要对历史命令记录查看，在system的虚拟机将所需要的软件启动<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/615209324.png" alt="![image-20250926214735784](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926214735784.png)" title="![image-20250926214735784](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926214735784.png)" style="">建议将源文件导出，用记事本查看，这样比筛选出来的更好，因为能看到不包括关键词的命令<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/2455824436.png" alt="![image-20250926215016852](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926215016852.png)" title="![image-20250926215016852](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926215016852.png)" style="">启动consul（consul.sh）与rabbitmq<pre><code>./consul.sh</code></pre>rabbitmq 启动需要修改data虚拟机的host文件<pre><code class="lang-bash">vi /etc/hosts</code></pre>删除 172.20.148.2 那一行，添加192.168.160.159 iZbp1gma2uf9hvsnbu9mdkZ正确的host文件应该为<pre><code>127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.160.159 iZbp1gma2uf9hvsnbu9mdkZ</code></pre>然后重启rabbitmq<pre><code>systemctl restart rabbitmq-server</code></pre>接下来重启jar包<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/1300473064.png" alt="![image-20250926215329523](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926215329523.png)" title="![image-20250926215329523](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926215329523.png)" style=""><pre><code class="lang-bash">cd /
java -jar /data/cal-0.0.1-SNAPSHOT.jar</code></pre>或者<pre><code class="lang-bash">nohup java -jar -Xms4096M -Xmx4096M -Xmn3072M -Xss1M -XX:PermSize=256M -XX:MaxPermSize=256M /data/cal-0.0.1-SNAPSHOT.jar &amp;</code></pre>下面这个不会占用命令行窗口，但是看不到报错信息反向代理<pre><code>find ./ -type f -exec sed -i 's/47.96.140.186/192.168.160.159/g' {} +</code></pre>其中的<code>192.168.160.152</code>需要换成system具体分到的ip<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/2790529918.png" alt="![image-20250926215823361](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926215823361.png)" title="![image-20250926215823361](F:\取证题\00_练习题_顺心借\服务器题目\image-20250926215823361.png)" style="">我是159然后在同一目录下，修改一下，因为登录是需要手机验证码的<pre><code>redis-cli -a Sxy000**</code></pre><pre><code>set ADMIN-PHONE18888888888 666666 </code></pre>然后修改数据库中用户的状态（state 0表示未禁用）在data虚拟机<pre><code>docker exec -it f2 mysql -uroot -p123456
SHOW DATABASES;
use sxj_prod;
show tables;
desc sys_user;
select * from sys_user;
UPDATE sys_user SET state = 0 WHERE state = 1;</code></pre>忘记改数据库配置了。。。（明天来）数据库在jar包里面，在一个临时文件夹解压<pre><code class="lang-cmd">cd temp_dir
jar -xf ../cal-0.0.1-SNAPSHOT.jar</code></pre><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/444691818.png" alt="![image-20250927183025219](https://gitee.com/saga131/mypic/raw/master/img/image-20250927183025219.png)" title="![image-20250927183025219](https://gitee.com/saga131/mypic/raw/master/img/image-20250927183025219.png)" style="">修改ip寻找47.96.140.186，改成system服务器的ip 我的是192.168.160.159另一个同名本地文件也改<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/3449666296.png" alt="![image-20250927183328695](https://gitee.com/saga131/mypic/raw/master/img/image-20250927183328695.png)" title="![image-20250927183328695](https://gitee.com/saga131/mypic/raw/master/img/image-20250927183328695.png)" style="">改好重新打包为jar<pre><code>jar -cfM0 cal-0.0.1-SNAPSHOT.jar ./</code></pre>然后覆盖重启一下java jar还需要将yaml文件里面的连接url修改<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/510002339.png" alt="![image-20250927185926343](https://gitee.com/saga131/mypic/raw/master/img/image-20250927185926343.png)" title="![image-20250927185926343](https://gitee.com/saga131/mypic/raw/master/img/image-20250927185926343.png)" style="">将<pre><code>spring.datasource.url=jdbc:mysql://rm-bp18td28bsh13f5jy.mysql.rds.aliyuncs.com:3306/数据库名</code></pre>改为<pre><code>spring.datasource.url=jdbc:mysql://192.168.160.159:3306/数据库名</code></pre>同时还需要将下面的账号密码改为之前绕过mysql所设的root和123456好像ip搞错了<h5>重新开始配吧，要记住每台虚拟机的ip (同学，复现从这里开始跟着)</h5>看这篇来复现 <a class="no-external-link" href="https://www.zhangz.cc/2024/11/22/488/index.html" target="_blank">2024数证杯电子数据取证分析大赛初赛 服务器部分 Writeup | ZhangZ-Blog</a> 多找找文章，搜数证杯初赛服务器<h6>data.E01</h6>ip: 192.168.160.150作用：docker上有mysql的数据库<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/2408495480.png" alt="![image-20250927212151186](https://gitee.com/saga131/mypic/raw/master/img/image-20250927212151186.png)" title="![image-20250927212151186](https://gitee.com/saga131/mypic/raw/master/img/image-20250927212151186.png)" style=""><h6>system.E01</h6>ip:192.168.160.159作用：有java，网站jar包（里面存有sxj的配置yaml文件application-sxj.yaml），consul，redis（消息转发，也就是发短信验证码，并存储比对的软件）<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/3145486292.png" alt="![image-20250927212138308](https://gitee.com/saga131/mypic/raw/master/img/image-20250927212138308.png)" title="![image-20250927212138308](https://gitee.com/saga131/mypic/raw/master/img/image-20250927212138308.png)" style=""><h6>连上data.E01的docker容器mysql的数据库</h6>ip：192.168.160.150看一下主机是否能ping通绕过Mysql的账密，步骤在上面，需要额外添加一个账号，后面要把阿里云的链接改为连data.E01的数据库，所以要在这新建一个账号<pre><code class="lang-mysql">CREATE USER 'sxy'@'%' IDENTIFIED WITH mysql_native_password BY 'Sxy000**';

GRANT ALL PRIVILEGES ON sxj_prod.* TO 'sxy'@'%';</code></pre>用Navicat连接<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/1788997865.png" alt="![image-20250928150528347](https://gitee.com/saga131/mypic/raw/master/img/image-20250928150528347.png)" title="![image-20250928150528347](https://gitee.com/saga131/mypic/raw/master/img/image-20250928150528347.png)" style="">需要将sxy的plugin改为mysql_native_password接下来换虚拟机 system.E01 因为配置文件中连的是阿里云的数据库<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/220232191.png" alt="![image-20250928153332161](https://gitee.com/saga131/mypic/raw/master/img/image-20250928153332161.png)" title="![image-20250928153332161](https://gitee.com/saga131/mypic/raw/master/img/image-20250928153332161.png)" style="">需要将ip改为data.E01的ip，下面的账号密码填在上面的data容器数据库中<pre><code>vim /etc/hosts</code></pre>可以看到初始是<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/1212702722.png" alt="![2](https://gitee.com/saga131/mypic/raw/master/img/image-20250928154047540.png)" title="![2](https://gitee.com/saga131/mypic/raw/master/img/image-20250928154047540.png)" style="">改为<pre><code>data.E01的ip rm-bp18td28bsh13f5jy.mysql.rds.aliyuncs.com</code></pre>验证一下<pre><code>ping rm-bp18td28bsh13f5jy.mysql.rds.aliyuncs.com</code></pre><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/2095372676.png" alt="![image-20250928154256021](https://gitee.com/saga131/mypic/raw/master/img/image-20250928154256021.png)" title="![image-20250928154256021](https://gitee.com/saga131/mypic/raw/master/img/image-20250928154256021.png)" style="">还需要将本地127改为127.0.0.1 iZbp1gma2uf9hvsnbu9mdkZiZbp1gma2uf9hvsnbu9mdkZ然后我们去Navicat，启用一个手机号，sxj_prod的sys_user<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/3206908057.png" alt="![image-20250928154501372](https://gitee.com/saga131/mypic/raw/master/img/image-20250928154501372.png)" title="![image-20250928154501372](https://gitee.com/saga131/mypic/raw/master/img/image-20250928154501372.png)" style="">0为启用，1为禁止还是在system.E01中，做启动rabbitmq前期准备工作将/www/admin中所有的47.96.140.186变成我们system.E01的ip<pre><code>find /www/admin -type f -name &quot;*.js&quot; -exec sed -i 's/47.96.140.186/system.E01的ip/g' {} +</code></pre>启动两个<pre><code>/root/consul.sh
/data/jar.sh</code></pre><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/1825716252.png" alt="![image-20250928155305955](https://gitee.com/saga131/mypic/raw/master/img/image-20250928155305955.png)" title="![image-20250928155305955](https://gitee.com/saga131/mypic/raw/master/img/image-20250928155305955.png)" style="">发现 <img src="http://happyprimes.cn/blog/usr/uploads/2025/09/4076255112.png" alt="![image-20250928155400961](https://gitee.com/saga131/mypic/raw/master/img/image-20250928155400961.png)" title="![image-20250928155400961](https://gitee.com/saga131/mypic/raw/master/img/image-20250928155400961.png)" style="">应该是没开jar包<pre><code>java -jar /data/cal-0.0.1-SNAPSHOT.jar</code></pre>登录上网站<a class="no-external-link" href="http://192.168.160.159:82/" target="_blank">http://192.168.160.159:82/</a>仍然在system.E01发送短信验证码<pre><code>redis-cli -a Sxy000**
# 验证码是1234
set ADMIN-PHONE18888888888 1234
EXPIRE ADMIN-PHONE18888888888 600</code></pre><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/3933540558.png" alt="![image-20250928163441193](https://gitee.com/saga131/mypic/raw/master/img/image-20250928163441193.png)" title="![image-20250928163441193](https://gitee.com/saga131/mypic/raw/master/img/image-20250928163441193.png)" style="">登入上但是说xpt-1被禁用，对照了一下是这个手机号<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/1694701189.png" alt="![image-20250928160513468](https://gitee.com/saga131/mypic/raw/master/img/image-20250928160513468.png)" title="![image-20250928160513468](https://gitee.com/saga131/mypic/raw/master/img/image-20250928160513468.png)" style="">前面修改改错了，应该改的是state，不是type<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/518129152.png" alt="![image-20250928160652420](https://gitee.com/saga131/mypic/raw/master/img/image-20250928160652420.png)" title="![image-20250928160652420](https://gitee.com/saga131/mypic/raw/master/img/image-20250928160652420.png)" style="">登入上<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/2252540960.png" alt="![image-20250928160710217](https://gitee.com/saga131/mypic/raw/master/img/image-20250928160710217.png)" title="![image-20250928160710217](https://gitee.com/saga131/mypic/raw/master/img/image-20250928160710217.png)" style=""><h3>16. 对服务器检材进行分析，该平台中所有下单用户成功完成订单总金额是？（填写数字，答案格式：1）</h3><pre><code>11408100</code></pre><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/2817754049.png" alt="![image-20250928160846649](https://gitee.com/saga131/mypic/raw/master/img/image-20250928160846649.png)" title="![image-20250928160846649](https://gitee.com/saga131/mypic/raw/master/img/image-20250928160846649.png)" style="">有师傅的文章写的是11066700，我也不知道为什么显示错误有可能是因为登录的手机号不同吗登录了13238424249账号，也是显示11408100，假设错误。<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/1445787647.png" alt="![image-20250928164634322](https://gitee.com/saga131/mypic/raw/master/img/image-20250928164634322.png)" title="![image-20250928164634322](https://gitee.com/saga131/mypic/raw/master/img/image-20250928164634322.png)" style="">更换了浏览器也是这个数<img src="http://happyprimes.cn/blog/usr/uploads/2025/09/1852901773.png" alt="![image-20250928164921770](https://gitee.com/saga131/mypic/raw/master/img/image-20250928164921770.png)" title="![image-20250928164921770](https://gitee.com/saga131/mypic/raw/master/img/image-20250928164921770.png)" style="">疑惑，希望有师傅能解答一下。<h3>17. 对服务器检材进行分析，该平台中逾期费率是？（答案格式：1.1）</h3><pre><code>0.1</code></pre><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/3194325382.png" alt="![image-20250928161344382](https://gitee.com/saga131/mypic/raw/master/img/image-20250928161344382.png)" title="![image-20250928161344382](https://gitee.com/saga131/mypic/raw/master/img/image-20250928161344382.png)" style=""><h3>18. 对服务器检材进行分析，该平台中累计还款总金额是？（填写数字，答案格式：1）</h3><pre><code>10194700</code></pre><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/2642852932.png" alt="![image-20250928163644617](https://gitee.com/saga131/mypic/raw/master/img/image-20250928163644617.png)" title="![image-20250928163644617](https://gitee.com/saga131/mypic/raw/master/img/image-20250928163644617.png)" style=""><h3>19. 对服务器检材进行分析，该平台总共设置了多少种借款额度？（填写数字，答案格式：1）</h3><pre><code>18</code></pre><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/1612811531.png" alt="![image-20250928164049317](https://gitee.com/saga131/mypic/raw/master/img/image-20250928164049317.png)" title="![image-20250928164049317](https://gitee.com/saga131/mypic/raw/master/img/image-20250928164049317.png)" style="">19 - 1，有一个被禁用了（操作显示“启用”）<h3>20. 对服务器检材进行分析，该平台一共有多少个借款渠道？（填写数字，答案格式：1）</h3><pre><code>131</code></pre><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/2752642079.png" alt="![image-20250928164228672](https://gitee.com/saga131/mypic/raw/master/img/image-20250928164228672.png)" title="![image-20250928164228672](https://gitee.com/saga131/mypic/raw/master/img/image-20250928164228672.png)" style="">在点击激活状态后，需要切换一下页面，数据才会从140更新到131<h3>21. 对服务器检材进行分析，该平台对已完成用户收取了总计多少元服务费，结果精确到整数？（填写数字，答案格式：123）</h3><pre><code>4051915</code></pre><img src="http://happyprimes.cn/blog/usr/uploads/2025/09/2801286831.png" alt="![image-20250928164432748](https://gitee.com/saga131/mypic/raw/master/img/image-20250928164432748.png)" title="![image-20250928164432748](https://gitee.com/saga131/mypic/raw/master/img/image-20250928164432748.png)" style="">参考： <a class="no-external-link" href="https://www.zhangz.cc/2024/11/22/488/index.html" target="_blank">https://www.zhangz.cc/2024/11/22/488/index.html</a> <a class="no-external-link" href="https://ooqoww.top/2025/04/04/shuzhengbei" target="_blank">https://ooqoww.top/2025/04/04/shuzhengbei</a> <a class="no-external-link" href="https://mp.weixin.qq.com/s/oxjD0tMKdfcl1SFTnjeYyA" target="_blank">https://mp.weixin.qq.com/s/oxjD0tMKdfcl1SFTnjeYyA</a> 排序不分前后，感谢前辈解疑答惑

数证杯初赛服务器取证