文章总结: 该文档是一篇CTF服务器取证题解,详细记录了从Linux服务器获取内核版本、主机名、登录时间、宝塔面板管理信息的过程,并通过分析Node.js聊天室项目中的数据库文件破解贩毒团伙的暗码和交易细节。关键发现包括通过SSH隧道暴露服务端口、解析聊天记录确定三名涉案人员及交易金额123000元,并提供完整的命令行操作和代码示例。 综合评分: 82 文章分类: CTF,WEB安全,取证分析,恶意软件,威胁情报
polarEDF个人服务器题解
浪漫土狗 浪漫土狗
正在思考ing
2026年4月28日 15:56 江苏
在小说阅读器读本章
去阅读
书接上文:
该服务器的内核版本是什么?
有两个内核版本,用火眼取出来的是旧版本,有点没太搞懂答案为什么是旧的内核版本
该服务器的主机名是多少
hostname
uname -n
cat /etc/hostname
该服务器做后一次登录时间为,用时间戳表示
last -F | head -n 20
这里取证工具取出来的时间和命令行查看的最后一次登录时间又是不一样的,没搞懂为什么命令行查到的最后一次登录时间在火眼里面显示的是最后一次登出时间
看登录日志找到第一次登录的时间,用在线工具转换
鸢尾花用什么工具管理服务器
看到这里有宝塔面板
登录过该服务器的用户名是什么
上图中有,ywh
用于连接ssh的内网地址是多少
看宝塔的日志信息找到连接ssh的内网地址
用户使用什么命令查询自己的公网ip
看历史命令找到
鸢尾花在搭建聊天室时是用什么项目部署的
/www/wwwroot/node-websocket-Chatroom-master# cat README.md
直接到网站根目录下找到README.md文件,获取聊天室的搭建项目就是Node.js
鸢尾花创建的聊天室的项目路径是什么
/www/wwwroot/node-websocket-Chatroom-master
鸢尾花聊天室的聊天记录存储在哪里
看到有个名为db的文件夹,数据库大概率就存储在这里 www/wwwroot/node-websocket-Chatroom-master/db/messages.db
通过聊天记录,一共有几个人参与了贩毒
import json
with open("messages.db","r",encoding="utf-8") as f:
for line in f:
line = line.strip()
line = json.loads(line)
name = line["from"]["name"]
content = line["content"]
print(name,content,sep=":")
写个脚本解析下messages.db内容
可以看到一共有鬼灯笼、永生花和鸢尾花三个人
鸢尾花给冰毒设置的暗码是什么(已知密钥为6618452979)
看到检材的桌面上有个叫暗码的文件夹,大概率就是在这里面。查看发现两张图片。里面都是一串数字,然后就是脑洞时刻: 冰毒的拼音是bingdu全部转为ascii码后拼接得到98105110103100117,然后除以密钥取整就是14822967,就是对应的其中一张图片的内容
通过聊天记录,他们接头的酒吧名字叫什么
从上面解析的内容可知是哈夫酒吧,但是答案为什么是哈夫酒馆🤬
通过审问,鸢尾花供出了接头的暗号和图片中的数字六有关,图片的名字就是暗号,该图片的名字是什么
这张骰子图片中有个六点,猜测dice就是暗号
几人在长春贩毒的数额是多少
从聊天记录可以算出,冰毒加上海洛因一共123000
该聊天室的启动命令是什么
在README.md中找到,就是启动后台服务 的那个命令
鸢尾花使用了ssh反向隧道暴露了一个端口的服务,这个端口是
直接看历史记录,该服务就是聊天室的端口
鸢尾花是用什么命令将服务暴露到公网上
如上图
鸢尾花宝塔面板的用户名是什么
鸢尾花一共用过几个登录终端,分别是
一共是两个,seat0(图形界面登录屏幕)和tty2(本地控制台终端)
完结撒花,感谢陪伴🎉
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:正在思考ing 浪漫土狗 浪漫土狗《polarEDF个人服务器题解》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论