第二届“数证杯”电子数据取证分析大赛

应该改名为加密文档杯

不知道对不对不会取证夏季巴写的

服务器取证

1、node1节点的磁盘设备SHA256值前六位是？(字母全大写，答案格式：AAAAAA)

仿真进去，lsblk

NAME       MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
sda        8:0    0   40G  0 disk
sda1       8:1    0  101G  0 part /boot
sda2       8:2    0 203960 ? part ?
  ├─centos-root 253:0 0 35.1G  0 lvm  /
  └─centos-swap 253:1 0 3.9G   0 lvm  [SWAP]
sr0        11:0   1 1024M  0 rom

sudo sha256sum /dev/sda

2、集群配置了多少个node节点？（答案格式：1）（）

1 个 Master 节点 + 2 个 Worker 节点 = 3 个 node 节点

3、嫌疑人于什么时间修改master节点的root密码？（使用双位数格式，答案格式：00:00:00）

09:35:59

4、Docker的安装日期是？（使用双位数格式，答案格式：01月01日）（）

04-08

5、Docker通过配置守护进程以使用全局代理，该代理地址的端口是？（答案格式：1）（）

仿真，docker info | grep -i proxy

6、发卡网站使用的Mysql数据库对外访问端口是？（答案格式：1）（）

9、发卡网站使用的缓存数据库是？（答案格式：mysql）（）

redis

10、集群中配置的发卡网站代码运行的物理目录

/data/k8s_data/default/dujiaoka

11、Telegram群管机器人配置的API代理域名是？（答案格式：www.xxx.com）（）

12、嫌疑人在Telegram上创建的群名称是？（答案格式：比武群）（）

redis里db1

a:37:{s:5:"title";s:12:"度角数卡";s:8:"img_logo";N;s:9:"text_logo";N;s:8:"keywords";N;s:11:"description";N;s:8:"template";s:4:"luna";s:8:"language";s:5:"zh_CN";s:12:"manage_email";N;s:17:"order_expire_time";s:1:"5";s:16:"is_open_anti_red";i:0;s:16:"is_open_img_code";i:0;s:18:"is_open_search_pwd";i:0;s:24:"is_open_google_translate";i:0;s:6:"notice";s:1136:"<p><span style="color: #2dc26b; font-size: 18pt;"><strong>售后客服飞机号：@33333（注意是+86CN的号码）</strong></span></p>
<p>&nbsp;</p>
<p><span style="color: #e67e23; font-size: 18pt;"><strong>频道地址：</strong></span><span style="color: #e67e23;"><span style="font-size: 24px;"><strong>https://t.me/ximenjiaol</strong></span></span></p>
<p>&nbsp;</p>
<p><span style="color: #236fa1;"><span style="font-size: 18pt;"><strong>交流群唯一地址：</strong></span><span style="color: #e67e23;"><span style="font-size: 24px;"><strong>https://t.me/xillkak</strong></span></span></span></p>
<p>&nbsp;</p>
<p><span style="color: #3598db; font-size: 18pt;"><strong>本站USDT收款地址：</strong></span><span style="color: #3598db;"><span style="font-size: 24px;"><strong>TPNYhBjSLTLgtxwXYbdzkWQUaqg4z3rJi8</strong></span></span></p>
<p>&nbsp;</p>
<p><span style="color: #ba372a; font-size: 18pt;"><strong>下单前注意看介绍，拍错了不退不换！！！！<a title="http://xillka.com:31669/order-search" href="查询订单" target="_blank" rel="noopener">点我查询订单</a></strong></span></p>";s:6:"footer";N;s:20:"is_open_server_jiang";i:0;s:18:"server_jiang_token";N;s:21:"is_open_telegram_push";i:1;s:18:"telegram_bot_token";s:46:"8378348497:AAGSu7pC5rrDicjMqa7Mv9atvB1iE5NAZeY";s:15:"telegram_userid";s:10:"6213151597";s:17:"is_open_bark_push";i:0;s:21:"is_open_bark_push_url";i:0;s:11:"bark_server";N;s:10:"bark_token";N;s:20:"is_open_qywxbot_push";i:0;s:11:"qywxbot_key";N;s:6:"driver";s:4:"smtp";s:4:"host";s:11:"smtp.qq.com";s:4:"port";s:3:"587";s:8:"username";s:12:"[email protected]";s:8:"password";s:16:"hxobygicmubhddhb";s:10:"encryption";s:3:"tls";s:12:"from_address";s:12:"[email protected]";s:9:"from_name";s:31:"【度角数卡-自助发卡】";s:10:"geetest_id";N;s:11:"geetest_key";N;s:15:"is_open_geetest";i:0;}

频道地址 https://t.me/xillkak 看看就知道了 西门庆交流群

13、统计嫌疑人在Telegram上创建的群中2025年6月之后成功入群的人数为？（答案格式：1）（）

mysql中captchabot的user_captcha_record表有记录入群数据

筛掉status=-1然后按日期就可以

14、据嫌疑人交代曾在发卡网上删除过一条订单数据，请找出该删除订单的订单号是？（答案格式：请按实际值填写）（）

看mysql 把数据库导出然后执行SHOW VARIABLES LIKE 'log_bin';

发现有binlog，翻出来两个

用mysqlbinlog 分析找到

### DELETE FROM `dujiaoka`.`orders`
### WHERE
###   @1=6924
###   @2='4V8XNK8Q02MD5D2R'
###   @3=7
###   @4=0
###   @5='加拿大/美国支付白，账号密码登录，带支付密码，干净设备上号直登，不能接码。'
###   @6=1
###   @7=7.00
###   @8=7
###   @9=0.00
###   @10=0.00
###   @11=49.00
###   @12=49.00
###   @13=''
###   @14='[email protected]'
###   @15=''
###   @16=14
###   @17='55.159.149.213'
###   @18='Y202506201444154958'
###   @19=4
###   @20=0
###   @21=1750430655
###   @22=1750430735
###   @23=NULL
# at 6757190

订单号 4V8XNK8Q02MD5D2R

15、发卡网站上2025年6月之后订单交易成功的总金额是？忽略被删除的数据（答案格式：1）（）

数据库都导出来了直接查就行了

17、计算出用户密码算法中Salt的值，并进行Base64编码，结果是？（答案格式：请按实际值填写）（）

admin_users表有两个用户

密码是$2y$10$tGN34SUCmko71LBJJD3oNui6qA0MrA.hnq6pecBnUxckcbVMAfFvS和$2y$10$8vqDsUIts1stqRRpK51aJ.XTO.DO5c.9xsNu4lDlwgSZlTQSsYEZu

18、发卡网站配置的邮件发送人地址是？（答案格式：[email protected]）

回到redis的db1

[email protected]

19、当前发卡网站首页仪表盘中显示的发卡网站版本为？（答案格式：1.1.1）

找到源码

在config/dujiaoka.php

20、当前发卡网站中绑定的订单推送Telegram用户id为（答案格式：请按实际值填写）

还是redis的db1

6213151597

物联网设备取证分析

66、打印机的主机名称是什么？(答案格式：root)（）

print

67、打印文件存储在哪个目录？(答案格式：/root/root)（）

/var/spool/cups

68、同一天，打印两份文件的用户是谁？(答案格式：root)（）

alice

69、分析物联网检材，木马运行后，自身产生的进程ID是多少？（答案格式：1）（）

2177

70、分析物联网检材，系统中存在一个非标定时任务，这个任务每隔多少分钟执行？（答案格式：1）（）

10

71、分析物联网检材，木马程序会窃取文档暂存在隐藏目录，这个目录的绝对路径？（/root/root/）（）

/tmp/.cache/

72、分析物联网检材，木马程序将数据上传到的服务器的IP地址是多少？（答案格式：1.1.1.1）（）

185.199.108.153

73、根据木马程序，它监视的关键字是什么？（答案格式：按照实际情况填写）（）

Project Dragonfire

第二届“数证杯”电子数据取证分析大赛

服务器取证

1、node1节点的磁盘设备SHA256值前六位是？(字母全大写，答案格式：AAAAAA)

2、集群配置了多少个node节点？（答案格式：1）（ ）

3、嫌疑人于什么时间修改master节点的root密码？（使用双位数格式，答案格式：00:00:00）

4、Docker的安装日期是？（使用双位数格式，答案格式：01月01日）（ ）

5、Docker通过配置守护进程以使用全局代理，该代理地址的端口是？（答案格式：1）（ ）

6、发卡网站使用的Mysql数据库对外访问端口是？（答案格式：1）（ ）

9、发卡网站使用的缓存数据库是？（答案格式：mysql）（ ）

10、集群中配置的发卡网站代码运行的物理目录

11、Telegram群管机器人配置的API代理域名是？（答案格式：www.xxx.com）（ ）

12、嫌疑人在Telegram上创建的群名称是？（答案格式：比武群）（ ）

13、统计嫌疑人在Telegram上创建的群中2025年6月之后成功入群的人数为？（答案格式：1）（ ）

14、据嫌疑人交代曾在发卡网上删除过一条订单数据，请找出该删除订单的订单号是？（答案格式：请按实际值填写）（ ）

15、发卡网站上2025年6月之后订单交易成功的总金额是？忽略被删除的数据（答案格式：1）（ ）

17、计算出用户密码算法中Salt的值，并进行Base64编码，结果是？（答案格式：请按实际值填写）（ ）