2026聚合獬豸杯-服务器题解析

yagami 发表于 1 小时前共 6,422 字、阅读约 21 分钟

检材3 - 服务器取证 Writeup

作者：yagami
任务目录：/mnt/d/文档/hermes-work/jiancai3-server-q1-to-q20/
生成时间：2026-06-14
生成模式：完整 writeup
工具：Hermes Agent
模型：Qwen3.6-27B-Uncensored-HauhauCS-Aggressive-Q4_K_P.gguf
运行方式：本地

任务信息

题目范围：Q1-Q20（检材3 - 服务器取证）
服务器：192.168.100.119:22 root/123456 (CentOS 7)
状态文件：state.md, answers.md, findings.md, commands.md, errors.md, verification.md
验证策略：远程命令执行 + 源码分析 + 数据库查询 + 彩虹表字典爆破 + 后台登录实际验证

工具与模型

项目	内容
工具	Hermes Agent
模型	Qwen3.6-27B-Uncensored-HauhauCS-Aggressive-Q4_K_P.gguf
运行方式	本地

答案汇总

题号	答案	答案状态	验证等级	关键证据摘要
Q1	3.10.0	已验证	L1	uname -r 远程执行确认内核版本
Q2	ahao	已验证	L1	getfacl /etc/shadow 显示 user:ahao:r-- ACL权限
Q3	nginx/1.20	已验证	L1	nginx -v 确认为 nginx/1.20.1
Q4	5	已验证	L1	network-check.py 中 KICK_DELAY=“5 minutes”
Q5	FF8180	已验证	L1	sha256sum faka_backup.sql 后6位大写
Q6	Root@123456	已验证	L2	config.php源码 + MySQL登录测试双证据
Q7	8081	已验证	L2	ss -tlnp + nginx.conf 双证据确认监听端口
Q8	60M	已验证	L1	php.ini upload_max_filesize = 60M
Q9	8.208.44.202	已验证	L1	autobackup.sh REMOTE_SERVER=“8.208.44.202”
Q10	/fk/static/	已验证	L2	nginx日志33次访问 + login.php独立密码盐双证据
Q11	192.168.203.135	已验证	L1	nginx日志该IP访问login.php共15次最多
Q12	abc123456	已验证	L3	源码算法 + SQL备份哈希 + hashcat彩虹表爆破 + 后台登录验证四源交叉
Q13	无忧支付	已验证	L2	faka_backup.sql payapi=13 + set.php解码双证据
Q14	2018/12/14	已验证	L3	在线DB + SQL备份 + 源码页脚三源交叉验证
Q15	ZhangSan_Sec	已验证	L3	bash_history追踪 + 隐藏备份文件 + 解码链三层验证
Q16	24073	已验证	L2	faka/faka_original双数据库交叉验证 + 源码确认status枚举
Q17	5442	已验证	L2	faka/faka_original双数据库按日统计交叉验证
Q18	无畏契约自动扳机+透视+准星辅助	已验证	L2	faka/faka_original双数据库JOIN统计交叉验证
Q19	guoqi	已验证	L2	数据库统计 + shua_site用户名映射双证据
Q20	_tmp_z5m1w8	已验证	L2	mysql.user表 + SHOW GRANTS双查询交叉验证

解题过程

Q1 服务器内核版本号

题目：请分析检材3：服务器的内核版本号是多少？【答案格式：4.25.0】

答案：3.10.0

答案状态：已验证

验证等级：L1

解题思路：SSH连接服务器后执行 uname -r 获取完整内核版本，按答案格式取主.次.修订三段。

关键证据：

uname -r 返回 3.10.0-1160.119.1.el7.x86_64
按格式提取前三段 = 3.10.0

重点命令：

ssh [email protected] "uname -r"

关键输出：

3.10.0-1160.119.1.el7.x86_64

Q2 读取 /etc/shadow 的普通用户

题目：请分析检材3：嫌疑人将某普通用户加入特殊用户组，赋予其读取 /etc/shadow 的权限，请问该普通用户的用户名是什么？【答案格式：admin】

答案：ahao

答案状态：已验证

验证等级：L1

解题思路：/etc/shadow 默认权限为 640（root:shadow），通过 getfacl 检查 ACL 发现普通用户 ahao 被额外授予读取权限。

关键证据：

getfacl /etc/shadow 返回 user:ahao:r--，确认 ahao (uid=1000) 被额外授予读取权限

重点命令：

getfacl /etc/shadow

关键输出：

user::rw-
user:ahao:r--
group::r--
mask::r--
other::---

Q3 Web 服务器名称及主版本号

题目：请分析检材3：分析嫌疑人所使用的 Web 服务器，其具体名称及主版本号是什么？【答案格式：apache/2.40】

答案：nginx/1.20

答案状态：已验证

验证等级：L1

解题思路：执行 nginx -v 确认 Web 服务器为 nginx/1.20.1，按格式取名称/主版本去掉修订号。

重点命令：

nginx -v 2>&1

关键输出：

nginx version: nginx/1.20.1

Q4 守卫脚本触发间隔

题目：请分析检材3：嫌疑人借助 AI 部署 “守卫” 脚本，非管理员 IP 登录时将触发定时强制登出，该服务每隔几分钟触发一次？【答案格式：10】

答案：5

答案状态：已验证

验证等级：L1

解题思路：找到守卫脚本 /usr/local/bin/network-check.py，其中 CHECK_INTERVAL=30秒（检查间隔），KICK_DELAY=“5 minutes”（非管理员IP登录后5分钟强制登出）。

重点命令：

grep -E "CHECK_INTERVAL|KICK_DELAY" /usr/local/bin/network-check.py

关键输出：

CHECK_INTERVAL = 30
KICK_DELAY = "5 minutes"

Q5 数据库备份文件 SHA256 后6位

题目：请分析检材3：计算服务器内数据库备份文件，计算其SHA256哈希值，取后6位，字母大写。【答案格式：6DEF3898】

答案：FF8180

答案状态：已验证

验证等级：L1

解题思路：服务器内 /tmp/db_backup/ 下的备份文件几乎为空（20字节），真实备份是 faka_backup.sql（27MB，来源：计算机检材内BitLocker解密获取）。对其计算 SHA256，取后6位大写。

重点命令：

sha256sum /tmp/faka_backup.sql

关键输出：

8dd79df101c67fd414100e1f0645e43b1cc5f5ddcf59305741c1a4318bff8180  /tmp/faka_backup.sql

后6位 = ff8180 → 大写 = FF8180

踩坑与修正：

最初误用服务器内空备份文件 fk_20260614_103010.sql.gz（仅20字节），后确认真实备份为 faka_backup.sql

Q6 MySQL root 密码

题目：请分析检材3：MySQL 数据库 root 用户的登录密码是什么？【答案格式：根据实际值填写】

答案：Root@123456

答案状态：已验证

验证等级：L2

解题思路：从网站源码 config.php 中找到明文 MySQL 密码，并用 mysql 命令行登录测试确认。

关键证据：

/usr/share/nginx/html/fk/config.php 中 "pwd" => "Root@123456"（数据库密码）
MySQL登录测试 mysql -u root -pRoot@123456 -e "SELECT 1" 返回成功

重点命令：

grep "pwd" /usr/share/nginx/html/fk/config.php
mysql -u root -p'Root@123456' -e "SELECT 1 as mysql_test;"

关键输出：

"pwd" => "Root@123456", //数据库密码
mysql_test = 1 (登录成功)

Q7 网站对外开放端口

题目：请分析检材3：外挂网站所对外开放的端口号是多少？【答案格式：1234】

答案：8081

答案状态：已验证

验证等级：L2

解题思路：通过 ss -tlnp 确认 nginx 监听 *:8081，nginx.conf 中 listen 8081。原默认端口80被修改为8081。

重点命令：

ss -tlnp | grep nginx
grep "listen" /etc/nginx/nginx.conf

关键输出：

LISTEN *:8081 (nginx)
listen 8081; listen [::]:8081;

Q8 最大上传限制

题目：请分析检材3：嫌疑人为上传大型恶意插件修改文件上传限制，其最大上传限制是多少？【答案格式：100M】

答案：60M

答案状态：已验证

验证等级：L1

解题思路：从 php.ini 和 nginx.conf 确认上传限制。

重点命令：

grep "upload_max_filesize" /etc/php.ini

关键输出：

upload_max_filesize = 60M

Q9 境外服务器IP

题目：请分析检材3：嫌疑人设置数据库定时自动备份并上传至境外，请问该境外服务器的IP地址是多少？【答案格式：8.8.8.8】

答案：8.208.44.202

答案状态：已验证

验证等级：L1

解题思路：从定时备份脚本 /etc/cron.daily/autobackup.sh 中找到境外服务器IP。

重点命令：

grep -n "REMOTE_SERVER" /etc/cron.daily/autobackup.sh

关键输出：

第7行: REMOTE_SERVER="8.208.44.202"

脚本通过 scp 将数据库备份上传至 [email protected]:/root/

Q10 隐蔽后台路径

题目：请分析检材3：嫌疑人登录后台的目录路径是什么？【答案格式：/abc/abc】

答案：/fk/static/

答案状态：已验证

验证等级：L2

解题思路：服务器上有两个后台入口 /fk/admin/ 和 /fk/static/。通过 nginx 日志分析发现 /fk/static/login.php 被访问33次，远高于 /fk/admin/login.php 的7次。且 /fk/static/login.php 有独立密码盐 PWD=‘2025baofu!’，为嫌疑人实际使用的隐蔽后台。

关键证据：

find 确认 /usr/share/nginx/html/fk/static/login.php 存在，有独立密码盐 define('PWD', '2025baofu!')
nginx日志统计：/fk/static/login.php 被访问33次，/fk/admin/login.php 仅7次
/fk/static/ 下大量后台管理页面被频繁访问：admin.php(36次)、dashboard.php(30次)、orderlist.php(28次)等

重点命令：

find /usr/share/nginx/html/fk/ -name "login.php"
zcat -f /var/log/nginx/access.log* | awk '$7 ~ /\/fk\/(static|admin)\/login/ {print $7}' | sort | uniq -c | sort -rn

关键输出：

/fk/static/login.php: 33次访问
/fk/admin/login.php: 7次访问

Q11 后台登录页面最多访问IP

题目：请分析检材3：访问后台登录页面次数最多的 IP 地址是什么？【答案格式：192.168.1.1】

答案：192.168.203.135

答案状态：已验证

验证等级：L1

解题思路：从 nginx access.log 统计访问 /fk/(static|admin)/login.php 的IP地址，192.168.203.135 共15次最多。

重点命令：

zcat -f /var/log/nginx/access.log* | awk '$7 ~ /\/fk\/(static|admin)\/login\.php/ {cnt[$1]++} END {for (ip in cnt) print cnt[ip], ip}' | sort -rn | head -5

关键输出：

15 192.168.203.135

Q12 后台管理员明文密码

题目：请分析检材3：网站后台管理员的明文密码为多少？【答案格式：根据实际值填写】

答案：abc123456

答案状态：已验证

验证等级：L3（四源交叉验证）

解题思路：从 faka_backup.sql 解析 shua_config 获取 admin_pwd 缓存哈希值和 admin_user=admin。从 /fk/static/login.php 确认登录算法为 sha256(明文密码 + “2025baofu!”)。使用 Windows 本地 hashcat v6.2.6 对目标哈希进行彩虹表字典爆破，Cracked 得到 abc123456。最后用 curl 实际登录后台验证成功。

关键证据：

从备份解析配置：faka_backup.sql 中 shua_config 数据：
- admin_user = admin
- admin_pwd = 94bd34e3010a6468f312eafe359e9d926fc16bba62c0b6cf646d041a5c281bf2
登录算法确认：/fk/static/login.php 源码：
```
define('PWD', '2025baofu!');
$pass = hash('sha256', $pass .PWD);
```
算法为 sha256(明文密码 + “2025baofu!”)
hashcat彩虹表字典爆破：
- Windows本地 hashcat v6.2.6，-m 1410 (sha256( $pass.$ salt))，-a 0 字典模式
- 字典：彩虹表.txt（12,070条）
- 目标哈希：94bd34e3010a6468f312eafe359e9d926fc16bba62c0b6cf646d041a5c281bf2:2025baofu!
- 结果：Cracked 1/1 (100.00%)，Recovered: abc123456
后台登录验证：POST /fk/static/login.php 返回 HTTP 200，PHPSESSID cookie 已设置；访问后台首页页面已渲染（报远程数据库连接错误但证明密码验证已通过）

重点命令：

# hashcat 彩虹表字典爆破 (Windows本地)
$hc='D:\soft\hashcat-6.2.6\hashcat.exe'
$dict='D:\soft\hashcat-6.2.6\彩虹表.txt'
$hash='94bd34e3010a6468f312eafe359e9d926fc16bba62c0b6cf646d041a5c281bf2:2025baofu!'
& $hc -m 1410 -a 0 $hash $dict --potfile-disable --outfile-format 2,3 --status --status-timer 5

关键输出：

Hash.Mode........: 1410 (sha256($pass.$salt))
Dictionary cache built: * Passwords.: 12070
Status...........: Cracked
Recovered........: 1/1 (100.00%) Digests
Progress.........: 4292/12070 (35.56%)
Speed.#*.........: 260.1 kH/s

结果文件: abc123456:616263313233343536

# 后台登录验证
curl -s -o /dev/null -w "%{http_code}" -X POST "http://127.0.0.1:8081/fk/static/login.php" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "user=admin&pass=abc123456" -c /tmp/q12_cookie.txt

关键输出：

HTTP 200, PHPSESSID cookie 已设置 (2eb404f812b69c47d34e4882543a1459)
后台首页已渲染（报远程数据库连接错误，证明密码验证已通过）

踩坑与修正：

最初从在线数据库 fk_forensics.shua_config 获取 admin_pwd=wy0719，但这是旧入口 /fk/admin/ 的明文密码（无盐），非隐蔽后台密码
隐蔽后台 /fk/static/login.php 使用 sha256(pass+盐) 验证，需从 faka_backup.sql 获取缓存哈希值

Q13 支付接口第三方接入商名称

题目：请分析检材3：该网站支付接口所对接的第三方接入商名称是什么？【答案格式：根据实际值填写】

答案：无忧支付

答案状态：已验证

验证等级：L2

解题思路：从 faka_backup.sql 中提取支付配置 payapi=‘13’，同时从高度混淆的 set.php 文件中解码出支付接入商下拉选项，确认 value=13 对应"无忧支付"。注意底层SDK为彩虹易支付（alipay_api/qqpay_api/wxpay_api均为’2’走彩虹易支付接口通道），但实际接入商选择为 payapi=‘13’(无忧支付)。

关键证据：

faka_backup.sql：payapi='13', alipay_api='2', qqpay_api='2', wxpay_api='2', fanghong_api='9'
set.php 解码后确认 <option value="13">无忧支付</option> 存在于支付接入商下拉选项

重点命令：

grep -oP "'(payapi|alipay_api|qqpay_api|wxpay_api)','[^']*'" /tmp/faka_backup.sql
# Python解码set.php查找option value="13"

关键输出：

payapi='13'  → 无忧支付
alipay_api='2', qqpay_api='2', wxpay_api='2'  → 彩虹易支付接口通道

踩坑与修正：

最初误答"彩虹易支付"，混淆了底层SDK（彩虹易支付）和实际接入商配置（无忧支付）。payapi=13对应的是接入商选择。

Q14 网站创建时间

题目：请分析检材3：网站的创建时间是什么时候？【答案格式：2026/5/20】

答案：2018/12/14

答案状态：已验证

验证等级：L3（三源交叉验证）

解题思路：通过三个独立来源交叉确认网站创建时间。

关键证据：

在线数据库 fk_forensics.shua_config: build = 2018-12-14
SQL备份文件 faka_backup.sql: 'build','2018-12-14' — 与在线数据库一致
网站源码页脚 head.php: <span id="year-copy">2018</span> — 版权年份与创建时间一致

重点命令：

mysql -u root -p'Root@123456' fk_forensics -e "SELECT k, v FROM shua_config WHERE k='build';"
grep -A2 "INSERT INTO.*shua_config" /tmp/faka_backup.sql | grep build
grep -rn "2018" /usr/share/nginx/html/fk/ --include="*.php" | head -5

关键输出：

k=build, v=2018-12-14
'build','2018-12-14' (SQL备份一致)
head.php: <span id="year-copy">2018</span> (源码页脚)

按格式将分隔符从 - 改为 /：2018/12/14

Q15 Git作者姓名

题目：请分析检材3：网站Git配置信息中，找出作者姓名是什么？【答案格式：根据实际值填写】

答案：ZhangSan_Sec

答案状态：已验证

验证等级：L3（三层验证）

解题思路：从 bash_history 追踪嫌疑人操作链：cp .git/config /tmp/git_config_bak → git config -l > /tmp/git_config_bak（用当前篡改后配置覆盖）→ mv 伪装成图标缓存 → gzip 压缩 → rm 清理。原始 .git/config 备份藏在 /usr/share/icons/hicolor/48x48/apps/... /git.txt（文件名含空格伪装）。原始配置 name 字段经过 hex→base64 双重编码，解码得到 ZhangSan_Sec。backup_config.txt 中 GhostOperator 为嫌疑人篡改后的干扰项（编码方式反转为 base64→hex）。

关键证据：

bash_history 显示完整操作链
原始配置藏在 /usr/share/icons/hicolor/48x48/apps/... /git.txt
name = 576d6868626d6454595735665532566a (hex) → WmhhbmdTYW5fU2Vj (base64) → ZhangSan_Sec
原始 email = [email protected]（与 backup_config.txt 中 [email protected] 不同）

重点命令：

cat /root/.bash_history | grep -i git
find /usr/share/icons/hicolor/48x48/apps/ -type f
cat '/usr/share/icons/hicolor/48x48/apps/... /git.txt'
python3 -c "print(bytes.fromhex('576d6868626d6454595735665532566a').decode('ascii'))"
# → WmhhbmdTYW5fU2Vj
python3 -c "import base64; print(base64.b64decode('WmhhbmdTYW5fU2Vj').decode('ascii'))"
# → ZhangSan_Sec

关键输出：

原始Git配置: name=ZhangSan_Sec, [email protected]
backup_config.txt: name=GhostOperator (嫌疑人篡改后的干扰项)

Q16 已完成订单总金额

题目：请分析检材3：分析该网站 2025 年 6 月 1 日至 12 月 31 日的全部订单，其中状态为 “已完成” 的订单总成交金额为多少？【答案格式：1234】

答案：24073

答案状态：已验证

验证等级：L2（双数据库交叉验证 + 源码确认status枚举）

解题思路：首先从源码确认 status=1 = “已完成”（api.php:82 注释 //1:已完成,2:正在处理,3:异常,4:待处理，MessageSend.php 索引1=已完成）。然后从 faka_backup.sql 导入完整数据到两个独立数据库 faka 和 faka_original，分别查询 status=1 且时间范围 2025-06-01 至 2025-12-31 的订单总金额。在线 fk_forensics 只有3条测试订单（2023-03），完整数据在 faka_backup.sql。

重点命令：

# 源码确认status枚举
grep -rn "status" /usr/share/nginx/html/fk/ --include="*.php" | grep -i "已完成\|完成支付" | head -10

# 双数据库交叉验证
mysql -u root -p'Root@123456' faka_original -e "SELECT COUNT(*) as cnt, ROUND(SUM(money),2) as total FROM shua_orders WHERE status=1 AND addtime>='2025-06-01' AND addtime<='2025-12-31 23:59:59';"
mysql -u root -p'Root@123456' faka -e "SELECT COUNT(*) as cnt, ROUND(SUM(money),2) as total FROM shua_orders WHERE status=1 AND addtime>='2025-06-01' AND addtime<='2025-12-31 23:59:59';"

关键输出：

源码确认: status=1 = "已完成" (api.php:82, MessageSend.php:54, ajax.php:856)
faka_original: cnt=848, total=24073.00
faka: cnt=848, total=24073.00 (完全一致)

Q17 下单金额最高日总金额

题目：请分析检材3：分析 2025 年全年的订单数据，计算下单金额总计最高的那一天的总金额是多少？【答案格式：1234】

答案：5442

答案状态：已验证

验证等级：L2（双数据库交叉验证）

解题思路：题目说"下单金额总计"，不限status。按日统计 2025 年全年订单金额，两个独立数据库均确认 2025-09-16 最高（5442.00）。若仅统计 status=1 则最高为 2025-09-12 (1886.00)，但题意应为全部订单。

重点命令：

mysql -u root -p'Root@123456' faka_original -e "SELECT DATE(addtime) as dt, ROUND(SUM(money),2) as daily_total FROM shua_orders WHERE addtime>='2025-01-01' AND addtime<='2025-12-31 23:59:59' GROUP BY DATE(addtime) ORDER BY daily_total DESC LIMIT 5;"

关键输出：

2025-09-16 | 5442.00 (最高)
2025-09-12 | 5168.00
2025-09-20 | 5150.00

Q18 购买数量最高的应用名称

题目：请分析检材3：统计全部订单数据，购买数量累计最高的应用名称是什么？【答案格式：根据实际值填写】

答案：无畏契约自动扳机+透视+准星辅助

答案状态：已验证

验证等级：L2（双数据库交叉验证）

解题思路：JOIN shua_orders 和 shua_tools 表，按商品统计购买数量总和。两个独立数据库均确认 tid=1912 “无畏契约自动扳机+透视+准星辅助” 第一名（78件），第二名76件差距明显。

重点命令：

mysql -u root -p'Root@123456' faka_original -e "SELECT t.tid, t.name, SUM(o.value) as total_qty FROM shua_orders o JOIN shua_tools t ON o.tid=t.tid GROUP BY t.tid ORDER BY total_qty DESC LIMIT 5;"

关键输出：

tid=1912 | 无畏契约自动扳机+透视+准星辅助 | 78件 (第一名)
tid=1919 | 命运2自动刷枪+打击脚本 | 76件
tid=1917 | 天涯明月刀自动身份玩法+跑商脚本 | 76件

Q19 累计购买总额最高的用户账号

题目：请分析检材3：统计全部订单数据，用户累计购买总额最高的用户账号是哪个？【答案格式：admin】

答案：guoqi

答案状态：已验证

验证等级：L2（数据库统计 + 用户名映射双证据）

解题思路：按 userid GROUP BY SUM(money)，userid=23 遥遥领先（15480.00元/527笔订单）。通过 shua_site 表 zid→user 映射确认 userid=23 对应账号为 guoqi。nginx日志中后台管理员曾搜索 kw=guoqi，返回200状态码和1266字节数据，进一步佐证。

重点命令：

mysql -u root -p'Root@123456' faka_original -e "SELECT userid, ROUND(SUM(money),2), COUNT(*) FROM shua_orders GROUP BY userid ORDER BY SUM(money) DESC LIMIT 1;"
# Python关联脚本: shua_site.zid→user 映射确认 userid=23 = guoqi

关键输出：

userid=23 | total_spent=15480.00 | count=527笔
shua_site映射: userid=23 → 账号名 guoqi
nginx日志: 后台管理员搜索 kw=guoqi (HTTP 200, 1266字节)

踩坑与修正：

最初答案为 userid=23（数字），题目问"用户账号"需关联 shua_site 表获取账号名 guoqi

Q20 拥有 FILE 与 SUPER 权限的隐蔽 MySQL 账户

题目：请分析检材3：嫌疑人创建的拥有 FILE 与 SUPER 权限的隐蔽 MySQL 账户，其用户名是什么？【答案格式：admin】

答案：_tmp_z5m1w8

答案状态：已验证

验证等级：L2（双查询交叉验证）

解题思路：查询 mysql.user 表中所有 _tmp* 开头的账户，共16个。仅 _tmp_z5m1w8@localhost 同时拥有 Super_priv=Y 和 File_priv=Y。用 SHOW GRANTS 二次确认。

重点命令：

mysql -u root -p'Root@123456' -e "SELECT User, Host, Super_priv, File_priv FROM mysql.user WHERE User LIKE '_tmp%';"
mysql -u root -p'Root@123456' -e "SHOW GRANTS FOR '_tmp_z5m1w8'@'localhost';"

关键输出：

16个_tmp_*账户中，仅 _tmp_z5m1w8@localhost 同时有 Super_priv=Y 和 File_priv=Y
GRANT FILE, SUPER ON *.* TO '_tmp_z5m1w8'@'localhost' (与mysql.user表完全一致)

未完成或不可提交题目

题号	当前答案	答案状态	原因	下一步
(无)	—	—	全部20题均已验证完成	—

附录

踩坑总结

Q5: 服务器内 /tmp/db_backup/ 下的备份文件几乎为空（20字节），真实备份是 faka_backup.sql（27MB，来源：计算机检材内BitLocker解密获取）
Q9-Q11: 数据库日志与nginx日志不一致时，以nginx日志为准（更全面）
Q10-Q12: 有两个后台入口 /fk/admin/ 和 /fk/static/，嫌疑人实际使用隐蔽的 /fk/static/
Q13: alipay/目录有SDK但配置关闭，实际使用的是 epay/ 彩虹易支付底层接口，但接入商选择为 payapi=13(无忧支付)
Q15: Git配置name字段经过双重编码（hex→base64），嫌疑人篡改后编码方式反转为 base64→hex
Q16-Q19: 服务器在线数据库只有3条测试订单，完整数据在 faka_backup.sql

证据索引

编号	来源文件	证据内容摘要	对应结论
FINDING-Q1-001	commands.md	uname -r = 3.10.0-1160.119.1.el7.x86_64	Q1: 内核版本 3.10.0
FINDING-Q2-001	commands.md	getfacl /etc/shadow: user:ahao:r–	Q2: ACL用户 ahao
FINDING-Q3-001	commands.md	nginx -v: nginx/1.20.1	Q3: Web服务器 nginx/1.20
FINDING-Q4-001	commands.md	KICK_DELAY = “5 minutes”	Q4: 守卫间隔 5分钟
FINDING-Q5-001	commands.md	sha256sum faka_backup.sql 后6位=ff8180	Q5: SHA256后6位 FF8180
FINDING-Q6-001	commands.md	config.php pwd=Root@123456 + MySQL登录成功	Q6: MySQL密码 Root@123456
FINDING-Q7-001	commands.md	ss -tlnp *:8081 + nginx.conf listen 8081	Q7: 端口 8081
FINDING-Q8-001	commands.md	php.ini upload_max_filesize = 60M	Q8: 上传限制 60M
FINDING-Q9-001	commands.md	autobackup.sh REMOTE_SERVER=“8.208.44.202”	Q9: 境外IP 8.208.44.202
FINDING-Q10-001	commands.md	nginx日志33次访问/fk/static/ + 独立密码盐	Q10: 隐蔽后台 /fk/static/
FINDING-Q11-001	commands.md	nginx日志 15次 192.168.203.135最多	Q11: 最多访问IP 192.168.203.135
FINDING-Q12-001/002	commands.md, verification.md	hashcat -m 1410 Cracked + 后台登录验证	Q12: 密码 abc123456
FINDING-Q13-003	commands.md	payapi=‘13’ + set.php解码=无忧支付	Q13: 接入商无忧支付
FINDING-Q14-001	commands.md	在线DB+备份+源码页脚三源一致	Q14: 创建时间 2018/12/14
FINDING-Q15-002	commands.md	bash_history+隐藏备份+解码链	Q15: Git作者 ZhangSan_Sec
FINDING-Q16-001	commands.md	双数据库 cnt=848, total=24073.00	Q16: 已完成订单金额 24073
FINDING-Q17-001	commands.md	双数据库 2025-09-16 daily_total=5442.00	Q17: 最高日金额 5442
FINDING-Q18-001	commands.md	双数据库 tid=1912 第一名78件	Q18: 最高销量应用
FINDING-Q19-001	commands.md	userid=23→guoqi, 15480元/527笔	Q19: 最高消费用户 guoqi
FINDING-Q20-001	commands.md	mysql.user + SHOW GRANTS双确认	Q20: 隐蔽账户 _tmp_z5m1w8