网站托管广州市口碑seo推广外包

一，取证与溯源

镜像文件解压密码：44216bed0e6960fa

1.运维人员误删除了一个重要的word文件，请通过数据恢复手段恢复该文件，文件内容即为答案。

先用R-stuido软件进行数据恢复

得到

打开重要文件.docx全选发现有一条空白的被选中，

为其加上背景颜色就可以看见

2.服务器网站遭到了黑客攻击，但服务器的web日志文件被存放在了加密驱动器中，请解密获得该日志并将黑客ip作为答案提交。

我直接在使用windows的挂载没有成功，使用FTK-image的镜像挂载成功

得到，和前面的对比可以看见，直接挂载是没有重要文件.docx的

way一： 直接用vol，先看版本信息

vol -f F:\取证题20250320\Root\WIN-IRBP5Q8F25I-20250306-172341.raw windows.info

注：这里更换了vol3，之前的版本提取不出来，不知道为什么

扫描.log文件，开始就得到了access.log文件

 vol -f F:\取证题20250320\Root\WIN-IRBP5Q8F25I-20250306-172341.raw windows.filescan | Select-String "log"

将文件导出来，可以看见

vol -f F:\取证题20250320\Root\WIN-IRBP5Q8F25I-20250306-172341.raw windows.dumpfiles --physaddr 0x7c23ba40

way2：使用R-stuido软件扫描后看text文档，然后查看文档的内容，可以在里面找到ngnix的access.log日志，文件内容可以看出来里面有sql攻击的记录。

3.经分析，黑客在攻击中窃取了一些重要信息，请分析web日志，获取黑客窃取的相关信息，并将黑客窃取的所有身份证号按照其姓名拼音首字母升序排序，并计算其32位小写md5作为答案提交（如zhangsan的身份证是110101199001011234，lisi的身份证是110101198505051234，zhangfei的身份证是110101199203031234，则最终顺序为110101198505051234110101199203031234110101199001011234，计算其32小写md5”9ac198054af03107b2452bee3091b9ef”就是答案）

import re
from collections import defaultdict
import hashlib
from pypinyin import pinyin, Style# 初始化数据结构 - 改为存储完整记录
records = defaultdict(lambda: {'name': '', 'id_card': ''})# 优化后的正则表达式，同时匹配name和id_card
pattern = r"ascii\(substr\(\(select%20(name|id_card)%20from%20info%20limit%20(\d+),1\),(\d+),1\)\)=(\d+)"def extract_payload(line):"""从日志行中提取攻击载荷部分"""parts = line.split("\t")if len(parts) >= 3 and "/manager/user/?id=" in parts[2]:return parts[2]return None# 处理日志文件
with open("sfz.txt") as f:for line in f:line = line.strip()payload = extract_payload(line)if payload:match = re.search(pattern, payload)if match:field = match.group(1)index = int(match.group(2))position = int(match.group(3))ascii_val = int(match.group(4))# 拼接字符到对应位置if position > len(records[index][field]):records[index][field] += ' ' * (position - len(records[index][field]) - 1)records[index][field] += chr(ascii_val)else:# 如果位置已存在，更新字符（防止重复数据覆盖）if position <= len(records[index][field]):records[index][field] = records[index][field][:position-1] + chr(ascii_val) + records[index][field][position:]else:records[index][field] += chr(ascii_val)# 过滤有效记录（同时有姓名和18位身份证号）
valid_records = []
for idx, data in records.items():name = data['name'].strip()id_card = data['id_card'].strip()if name and id_card and len(id_card) == 18:valid_records.append({'name': name, 'id_card': id_card})# 按姓名拼音首字母排序
def get_pinyin_initial(name):"""获取姓名拼音首字母"""try:initials = pinyin(name, style=Style.FIRST_LETTER)return ''.join([i[0].lower() for i in initials])except:return 'z'  # 拼音转换失败时放到最后valid_records.sort(key=lambda x: get_pinyin_initial(x['name']))# 构建结果字符串
result_str = ""
for record in valid_records:result_str += f"{record['id_card']}"print(result_str)# 计算MD5
md5_hash = hashlib.md5(result_str.strip().encode('utf-8')).hexdigest()# 输出结果
print("=== 按姓名拼音排序的结果 ===")
for record in valid_records:print(f"{record['name']}: {record['id_card']}")print("\n=== 最终MD5哈希值 ===")
print(md5_hash)# 将结果保存到文件
with open("sorted_results.txt", "w", encoding='utf-8') as f:f.write("姓名,身份证号\n")f.write(result_str)f.write(f"\nMD5: {md5_hash}")

运行得到结果为

=== 按姓名拼音排序的结果 ===
ChenFang: 500101200012121234
GaoFei: 340104197612121234
GuoYong: 530102199810101234
HeJing: 610112200109091234
HuangLei: 230107196504041234
LiangJun: 120105197411111234
LiNa: 310115198502021234
LinYan: 370202199404041234
LiuTao: 330106197708081234
LuoMin: 450305198303031234
MaChao: 220203198808081234
SongJia: 350203200202021234
SunHao: 130104198707071234
WangWei: 110101199001011234
XieFang: 430104199707071234
XuLi: 320508200005051234
YangXue: 510104199311111234
ZhangQiang: 440305199503031234
ZhaoGang: 420103199912121234
ZhouMin: 210202198609091234
ZhuLin: 410105199206061234=== 最终MD5哈希值 ===
060b534ffb5c4a487be36cca98165e73