盘古石-服务器取证

题目说明:

此为盘古杯真题,复现地址玄机:盘古石2024-1 IM.dd · 玄机 - EDISEC

盘古石2024-1 IM.dd

1.分析内部IM服务器检材,在搭建的内部即时通讯平台中,客户端与服务器的通讯端口是:[答案格式:8888]

查看ip及端口发现有一个不一样的端口8065,在浏览器访问之后发现是一个即时通讯系统。

image-20240731142624394

答案:8065

2.分析内部IM服务器检材,该内部IM平台使用的数据库版本是:

在第一步发现运行的有docker,进入docker的命令行

image-20240731143752714image-20240731143812051

发现版本为12.18-1

答案:12.18-1

3.分析内部IM服务器检材,该内部IM平台中数据库的名称是:

使用一下命令找到对应数据库的名字

1
docker inspect 64 | grep -i 'db' -C  10

image-20240731144130010

答案:mattermost_test

4.分析内部IM服务器检材,该内部IM平台中当前数据库一共有多少张表

配置好ssh远程链接数据库,在步骤三里面可以看到用户名和密码

image-20240731150659980

答案:82

5.分析内部IM服务器检材,员工注册的邀请链接中,邀请码是

在里面有一个teams的表中可以看到

image-20240731152835766

答案:54d916mu6p858bbyz8f88rmbmc

6.分析内部IM服务器检材,用户yiyan一共给fujiya发送了几个视频文件:[答案格式:数字个]

在数据库中可以拿到密文

image-20240731153606006

经过bcrypt验证之后发现密码是123456

登录到系统之后发现是两个视频

image-20240731154100481

答案:2个

7.分析内部IM服务器检材,用户yiyan在团队群组中发送的视频文件的MD5值是:[答案格式:小写][★★★☆☆]

把视频下载下来

image-20240731155014974

答案:f8adb03a25be0be1ce39955afc3937f7

8.分析内部IM服务器检材,一个团队中允许的最大用户数是:[答案格式:数字][★★★★☆]

登录管理员账号(gxyt)发现是50

image-20240731160136023

答案:50

9.分析内部IM服务器检材,黑客是什么时候开始攻击(注意:北京时间)[答案格式:年-月-日-时-分]

可以发现黑客在爆破

image-20240731160630270

答案:2024-04-25-15-33

#CTF
盘古石-服务器取证
https://www.mrdang.icu/2024/07/31/盘古石-服务器取证/
作者
Mr.Dang
发布于
2024年7月31日
许可协议