文章总结： 该文档记录了2026年FIC初赛服务器取证分析过程，涉及Docker容器识别、操作系统版本确认、文件系统检查、数据库服务探查及网站配置分析。关键发现包括通过/proc/1/cgroup确认Docker环境、Btrfs根分区UUID提取、LXC容器数据库连接、Nginx伪静态规则SM3值计算、以及通过SQL查询获取用户注册高峰日期和登录IP。可操作建议包括使用lxc-attach进入容器、grep搜索配置文件、ss命令检查服务端口等取证方法。 综合评分： 72 文章分类： CTF,应急响应,取证分析,WEB安全,数据安全

找到数据库中对应的位置，可以看到，分类三中的视频对应的vod_en就是我们要的答案：sipaanshe

该站点设置页面中，被使用的前端模板来自于哪个源文件

cat ./application/extra/maccms.php | grep "template" -A 5

首先看配置文件maccms.php，去匹配模板相关的关键词，找到对应的目录是001tep，然后进到该目录下寻找，找到info.ini文件

该网站的伪静态规则配置文件sm3值为

该网站是nginx，所以伪静态规则存放在/etc/nginx/sites-enabled/default中

计算sm3：

openssl dgst -sm3 /etc/nginx/sites-enabled/default
#SM3(/etc/nginx/sites-enabled/default)= e73407468e6f52af54c7b14632eeeb9be25b05106d06c4c3085fc843c223793f

e73407468e6f52af54c7b14632eeeb9be25b05106d06c4c3085fc843c223793f

该网站关联的数据库的ip地址为

地址给的不是ip，我们需要去/etc/hosts中寻找对应的IP地址

cat /etc/hosts | grep "mytidb" -A 5

10.0.3.100

当然这一题也可以通过查看lxc容器信息找到IP：

看了下数据库似乎不在本机里面，这是需要考虑是不是存在容器里面，先匹配所有常见的docker容器的进程：

ps aux | grep -E "dockerd|lxd|lxcfs|containerd|podman|crio|kata|firecracker|runc"

显示存在docker容器和lxc容器服务，docker中并没有找到数据库的容器，所以只可能在lxc中

lxc容器操作：

root@ubuntu:/var/www/html/maccms10/application# lxc-ls                                           mytidb

所以现在可以确认数据库存放在lxc容器中的。

lxc-start -n mytidb
#lxc-start: mytidb: ../src/lxc/tools/lxc_start.c: lxc_start_main: 257 Container is already running

启动容器，发现容器是开着的，直接命令行操作的话可以执行如下操作进入容器再登录mysql

lxc-attach -n mytidb#进入容器

lxc-info mytidb

该网站数据库使用了哪一类容器技术

从前面的题目可知是LXC

运行在4000端口的备份数据库版本号为

改为连接4000端口的数据库，然后执行命令查看数据库版本：8.0.11-TiDB-v7.5.0

新注册用户数量最多的日期为

SELECT  FROM_UNIXTIME(user_reg_time,'%Y-%m-%d'),COUNT(*) FROM mac_user GROUP BY FROM_UNIXTIME(user_reg_time,'%Y-%m-%d') ORDER BY COUNT(*) DESC;

2026-04-15

马慧美最后一次登录该网站的ip为

SELECT user_name,inet_ntoa(user_last_login_ip) from mac_user where user_name like "Ma%Hui%Mei";

inet_ntoa()：把 IPv4 的“整数形式”转换成“点分十进制字符串”

以下哪个文件系统未被使用

A.ntfs B.btrfs C.xfs D.Lvm

在fstab中可以看到根分区就是btrfs文件系统，在 Linux 中判断“有没有使用 LVM”，一般看 是否存在 PV/VG/LV，以及 挂载的设备是否是 dm（device-mapper）设备

最常用：看 LV / VG / PV 是否存在：

pvs; vgs; lvs

有输出非空就说明是存在的，还有ac两个没有出现过

该服务器安装了以下那些数据库服务

A.mysql B.GuessDB C.tidb D.postgresql E.Mariadb

ss -lntp | grep -E "3306|4000|5432"

| 端口 | 数据库 | | — | — | | 3306 | MySQL / MariaDB | | 4000 | TiDB | | 5432 | PostgreSQL |

这里直接匹配常见的端口，看看有没有对应的进程

在容器里面发现mysql和tidb的默认端口是占用的，说明这两个服务存在

在本机中发现PostgreSQL的默认端口是占用的，说明该服务也存在，综上，ACD服务安装了

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：正在思考ing 浪漫土狗 浪漫土狗《2026fic初赛服务器部分》