原文地址:https://forensics.xidian.edu.cn/wiki/imgca2020/
既然有原文,为什么我还要写呢?Wp说白了复盘,如果初学者没有做过那一套
你看Wp只能说知其然而不知其所以然
我在每一步上面拓展,并附上拓展资料💾
方便大家一起学习,共同进步
本人在2021-10-20号查看👀该Wp
然后没做过,也没法复现~
但是通过Wp能学到不少基础或者说是思路。
于是在我已有的知识上进行后来者的补充~
若有不当,敬请谅解~
uname 可显示电脑以及操作系统的相关信息
- -a 显示全部的信息。
- -m 显示电脑类型。
- -n 显示在网络上的主机名称。
- -r 显示操作系统的发行编号。
- -s 显示操作系统名称。
- -v 显示操作系统的版本。
- --help 显示帮助。
- --version 显示版本信息。
uname -r
uname -a
cat /proc/version
Linux fdisk 是一个创建和维护分区表的程序
必要参数:
- -l 列出素所有分区表
- -u 与 -l 搭配使用,显示分区数目
选择参数:
- -s<分区编号> 指定分区
- -v 版本信息
fdisk -l
- 对应的 Web 服务对外开放的端口
查看
/etc/nginx/conf.d/xxx.com
可知这个就是nginx配置文件里面去看
附加firewall常用命令
systemctl status firewalld #查看firewall防火墙状态
firewall-cmd --list-ports #查看firewall防火墙开放端口
systemctl start firewalld.service #打开firewall防火墙
systemctl stop firewalld.service #关闭firewall防火墙
firewall -cmd --reload #重启firewal防火墙
- 服务器共绑定域名的个数
/etc/nginx/conf.d
下面看个数就好了
根据实际情况来说,犯罪嫌疑人(或者正常工作)为了上线方便,一般都会使用docker容器,直接放上去跑起来就行了。
- 所在的服务器的原始 IP 地址
- 嫌疑人登录使用的 IP 地址
Linux last 命令用于显示用户最近登录信息
last -n 5 -a -i
# 意思就是查看5个的全部信息+ip
- 转发的后台网站所使用的 IP 地址
docker run -it ubuntu /bin/bash
- -i: 交互式操作。
- -t: 终端。
- ubuntu: ubuntu 镜像。
- /bin/bash:放在镜像名后的是命令,这里我们希望有个交互式 Shell,因此用的是 /bin/bash。
参考链接🔗
# 启动docker服务
systemctl start docker
# 查看所有的容器命令
docker ps -a
# 进入容器
docker exec -it 容器id /bin/bash
# 查看历史记录
history
# 看下配置文件
etc/nginx/conf.d/h1.conf
# 要退出终端,直接输入
exit
- 查询nginx日志位置
# 查询nginx.conf 配置文件位置
find / -name nginx.conf
# 编辑/查看配置文件
vim /path/to/nginx.conf
# 找到access.log/error.log
# 在normal模式下按下/即可进入查找模式,输入要查找的字符串并按下回车。
# Vim会跳转到第一个匹配。按下n查找下一个,按下N查找上一个
/error.log\c # 查找error.log并且大小写不敏感
如果在docker里面
# 查询日志 docker logs 容器id # 统计次数 docker logs 容器id | grep 192.168.99.222 | wc -l
这个的检材密码在patr1
参考链接🔗
-
certutil -hashfile yourfilename.ext MD5
-
certutil -hashfile yourfilename.ext SHA1
-
certutil -hashfile yourfilename.ext SHA256
参考链接🔗
他说的仿真一下 意思就是跟你平时看正常的window是一样的步骤
然后步骤我就贴在上面了上👆
检材详细信息🔎
这里我提供一个我看到的思路
- systeminfo
- win + R 输入regedit 进入注册表管理
- 路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\installDate
- 提取到的十进制键值,转到时间转换网址
我还是看不出来用了什么软件
自己找了个
C:\Windows\prefetch 一般存的是软件记录
Prefetch工具获取Prefetch文件下的程序,直观看到使用过的程序
- 这里补充一个拓展
事件保存的位置:C:\windows\system32\winevt\Logs
日志分析工具LogParser
下载地址👈
ps aux
-a 显示现行终端机下的所有程序,包括其他用户的程序
-u 以用户为主的格式来显示程序状况
-x 显示所有程序,不以终端机来区分
ps axo pid,comm,pcpu # 查看进程的PID、名称以及CPU 占用率
ps -u root # 显示指定用户信息
ps -efL # 查看线程数
ps -e -o "%C : %p :%z : %a"|sort -k5 -nr # 查看进程并按内存使用大小排列
ps -ef # 显示所有进程信息,连同命令行
ps -ef | grep ssh # ps 与grep 常用组合用法,查找特定进程
ps -C nginx # 通过名字或命令搜索进程
ps aux --sort=-pcpu,+pmem # CPU或者内存进行排序,-降序,+升序
ps -f --forest -C nginx # 用树的风格显示进程的层次关系
ps -o pid,uname,comm -C nginx # 显示一个父进程的子进程
ps -e -o pid,comm,etime # 显示进程运行的时间
ps -aux | grep named # 查看named进程详细信息
ps -o command -p 91730 | sed -n 2p # 通过进程id获取服务名称
这个玩web久了就知道了
C:\Windows\System32\drivers\etc\hosts下面看看就行了
软件暂时没接触过,以后来写
- 复制虚拟机的
.vmx
文件进入,改名为1.vmx
---(方便打字,可不做) - pyvmx-cracker 破解VMware VMX加密密码的简单工具
- 输入命令 python .\pyvmx-cracker.py -v 1.vmx -d wordlist.txt
- 拿到虚拟机的密码
上面说的是:使用火眼打开
vmdk
文件,仿真绕过开机密码,可是复现的时候没成功先贴上官方网站 ,软件很专业
然后自己动手找了点法子,参考链接🔗
- 已知在虚拟机中打开Win与kail的话是处于相当于局域网中的
- 直接kali扫描C段 nmap -sT -p3389 192.168.121.1/24
- 找到存活主机对应的ip
- 使用hydra爆破 hydra -L user.txt -P password.txt rdp://192.168.121.136:3389
- kali远程登录: rdesktop 192.168.121.136
当然直接到另一边登录上去取证就好了
完全没玩过(使用过)windows server
是我肤浅了(bushi
直接看Wp吧
我看了之后总结几点吧
- 首先你得会Part3,或者能拿到数据库的Ip地址
- 最难的是数据库的复现
- 复现之后呢,说白了就是在本地搭建了一模一样的数据库
- 然后Part4取证主要是分析数据库
- 然后呢~可以使用点数据库管理工具是不错的吧
- 然后Wp写的挺不错了~
我是菜鸡🫑~
最后祝大家在比赛与实践中取得好成绩~
芜湖~起飞🛫️!