容器密码：MjAyNS3oi4/lt57pvpnkv6E=

服务器取证

01 Exsi 虚拟化平台是什么时候安装的

20251020-062808

火眼直接分析查看

02 Exsi 虚拟化平台虚拟机使用的ISO镜像大小

4.39

仿真之后发现ip为192.168.188.222

在虚拟网络编辑器这里更改一下网段，改成192.168.188.0

进入管理页面

账号root，仿真的时候密码为空

有两个虚拟机，用的同一个镜像，都是centos系统

选择磁盘映像，找到iso文件

03 nas 服务器samba应用完整版本标识

4.10.16-25.el7_9

方案一（推荐）：

直接在火眼添加新检材仿真，可以直接重置密码

用finalshell连接方便操作

rpm -q samba

方案二（bug多，麻烦）：

启动nas虚拟机

出现报错

:::tips 失败 - 模块“MonitorLoop”打开电源失败。

错误

模块“MonitorLoop”打开电源失败。

虚拟 CPU 的数目 (12) 多于物理 CPU 的数目 (2)。

无法打开虚拟机电源: 已超出正在运行的 VCPU 数目限制。

无法打开虚拟机电源。

无法启动虚拟机。

:::

编辑一下cpu的数目重新启动

这里不知道账号密码，需要重置一下（图片太多就不做演示了）

在 GRUB 菜单中，用箭头键选择****第一行
按****e键进入编辑模式。
**找到以 ****linux16** 开头的行。将光标移动到此行的末尾，先按 空格键，然后添加 rd.break。这会让系统在初始化早期进入一个紧急 shell。
**修改后，按 **Ctrl**+ ****X** 或 **F10** 启动系统。
**系统启动后会进入一个紧急模式的 shell，提示符为 **switch_root:/#。
执行以下命令重新挂载根文件系统为可写：mount -o remount,rw /sysroot
切换根目录：chroot /sysroot
现在可以修改 root 密码：passwd root
输入新密码两次（输入时不会显示，注意大小写）。
如果系统启用了 SELinux（默认启用），需要更新文件系统标签：touch /.autorelabel
退出 chroot 并重启：exit 、reboot

04 nas 服务器samba应用共享目录允许访问的用户名

shadowai

编辑Samba主配置文件，查看每个共享目录的权限设置。

cat /etc/samba/smb.conf

05 nas 服务器中删除了面板日志,请分析其删除日志后第一次访问服务器的目录物理路径

/www/wwwlogs

提到了面板，那就打开面板日志看看，注意修改密码

查看面板日志

最早的是10月22号的

06 某用户在"2025-10-21 18:40:53(北京时间)"向本地AI模型提问,请问其一共提问了几次

没有发现网站，但是看到了docker容器

打开网站看看

没有账号密码，那就看看本地的数据库文件

导出文件看一下

查看时间戳，是这个对话

查看chat对话，可以看到提问了两次

07 接上题,第二轮交互总计Token Consumption(令牌消耗)多少

289

08 AI 模型在创建时注册的管理员账号的头像显示的数字是

2024

查看数据库中的user

有两张图片，一张一张解码

09 卡密网站隔一段时间会自动删除后台管理员登录日志,日志最多保存多少小时

接下来问卡密网站，应该是web的那个服务器，同样的操作仿真一下

看到了卡密的网站，查看一下本地的文件，找到管理员登录页面

发现php代码混淆

解密一下，找到日志保存时间

10 卡密网站后台管理员登录成功后多少小时内无需重新登录

168

同上

11 卡密网站微信接口配置的Appsecret

7e8055384f9c4ff5991c46cacd336ad9

连接一下数据库（账号密码在面板数据库中可以看到）

找到配置文件

12 卡密网站管理员注册了一个商户账号,商户编号是

10019

找到管理员的邮箱

用户表中找到了相同的

13 接上题,该商户掌灵付微信扫码设置的费率

1.2%

did平台上答案是13%，这就不太清楚了

这就得访问网站了，添加一下host

添加域名，然后访问网站，发现报错了

查一下发现是php版本太高，调一下php版本

点击登录发现报错

网站面板伪静态改为thinkphp

这样网站重构就完成了，登录一下网站后台/admin

在login.php里看到密码是明文

直接在数据库里找管理员的账号密码登录

找到该商户，点击设置费率

注意千分率

14 接上题,不考虑平台提现、网关通道费用的情况下,售卖的卡密共计净利多少元

49500.80

订单删除了，只能去看数据库

在数据库中看到卡密100元

sql统计一下售卖了多少张

:::tips **SELECT COUNT(*) AS 卖出卡数量 **

**FROM goods_card **

WHERE user_id = 10019 AND STATUS = 2;

:::

还得减去短信的钱

计算一下

15 嫌疑人将卡密网站的数据定时备份至远程服务器,远程服务器IP

15.246.23.88

在docker服务中，看到还有青龙面板

进入面板

需要账号密码，在文件中找一下，找到数据库文件

导出之后看到账号密码

进入面板，找到ip

16 嫌疑人供述web虚拟机储存了一本名为"活在明朝"的小说,已经删除忘记怎么恢复了,请找到该小说并分析一共有多少章

285

docker容器中有koodoreader

打开看一看

不知道为什么没有东西，搜索的话可以搜到

17 接上题,小说是什么时候删除的

20251021-183348

如果有内容的话，点击备份然后看delete的json文件可以看到

18 有一个外部程序"芯龙短片"跟web服务器媒体系统进行通信,其API通信密钥

81d910127daf47b9ad52d48fcc9f4305

在jellyfin容器里，需要账号密码

我们查看文件

导出查看一下，看到通信密钥

19 接上题，媒体系统管理员最后登录的时间

**20251021-184752 **

刚刚在config目录下看到了password，打开看到用户名

重置密码

新的文件下找到密码，进入网站找到时间

F12打开api精确到秒

20 小说网站"升迁之路"小说第47章叫什么名字

这波赚嗨了

又开始构建小说网站，依旧先添加host

添加域名

打开网站依旧报错

在网站根目录下找到备份的htaccess文件

在根目录下将.htaccess修改为备份的.htaccess，php也记得改

搜索升迁之路

21 小说网站小说后台采集来源地址

**biquge.tv **

搜索一下后台的登录信息

还是有混淆

继续解密

发现任何人都可以通过访问登录页面重置管理员密码为f297a57a5a143894a0e4，将这里删掉

然后找一下加密逻辑，在/include/userlogin.class.php

意思是对明文密码进行MD5计算，然后从第5位开始，截取20个字符，修改一下admin的密码

登录到后台

点击采集，采集管理，编辑一下就可以看到了

22 小说网站某用户评论"好东西大家顶"是哪篇小说

网游之射破苍穹

在评论管理这里可以看到，也可以去数据库找

23 小说网站对接的第三方支付接口的商户密钥是

kaw2025id10019Experience

点击系统，支付接口设置

点击kamiworld，看到第三方接口

24 嫌疑人曾在web服务器中特定位置执行采集正版(收费)小说的脚本,采集的正版小说网址是

www.xinglo.com

发现宝塔里面还有个宝塔

启动一下

进入面板，在计划任务里看到

25 嫌疑人曾在web服务器中备份整套面板数据,面板备份数据包SHA256值

c3c09460c1f5b46b14509955b3a7c16d0760364d7ffd629e6849240720d308b8

打开设置，备份还原

点击详情即可看到