宝塔面板取证

admin 2022年6月21日21:27:43取证分析评论20 views1891字阅读6分18秒阅读模式

宝塔面板取证

宝塔面板是什么?

宝塔Linux面板是提升运维效率的服务器管理软件,支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能。例如:创建管理网站,轻松简单完成各种配置; 一键创建数据库,一键设置备份还原;方便高效的文件管理器,支持上传、下载、打包、解压以及文件编辑查看等。由此可见,宝塔面板一键管理服务器操作简单便捷,使得一些涉案服务器也使用宝塔面板进行管理。


一. 宝塔面板目录结构


宝塔面板取证


1. Backup目录是宝塔面板的备份文件目录,保存数据库备份、站点备份。

2. Server目录是宝塔面板的服务目录。

3. wwwlogs目录是站点日志目录,保存网站的访问日志及错误日志。

4. wwwroot目录是站点根目录,网站源码存放在目录下。


二、如何发现宝塔服务器是否使用了宝塔服务


1. 当获取到服务器的真实IP地址后,在浏览器输入服务器IP地址,会出现报错页面。如下图所示:


宝塔面板取证


2. 在服务器IP地址后加上宝塔面板的默认端口8888,当出现如下图所示时,说明此服务器使用了宝塔服务。注:如端口被修改,可通过简单的端口扫描来发现服务器开放了哪些端口,在通过IP地址加上可疑的端口进行测试来确定是否使用了宝塔服务。


宝塔面板取证


三、宝塔面板各种安全限制的解决方法


1. BasicAuth认证

宝塔服务开启BasicAuth认证时,需要输入用户名和密码,如下图。


宝塔面板取证


方法一:用户名和密码保存在/www/server/panel/config/basic_auth.json 文件中,用户名和密码加密方式为MD5。


宝塔面板取证


方法二:可以使用bt 23将BasicAuth认证关闭。


宝塔面板取证


2.IP访问限制

设置的白名单IP保存在/www/server/panel/data/limitip.conf 文件中。


宝塔面板取证


方法一:删除limitip.conf文件,命令:rm -rf  /www/server/panel/data/limitip.conf 。


宝塔面板取证


方法二:可以使用bt 13取消ip访问限制。


3.安全入口限制

设置的8位字符的安全入口保存在/www/server/panel/data/admin_path.pl 文件中。


宝塔面板取证


方法一:删除admin_path.pl文件,命令:rm -rf /www/server/panel/data/admin_path.pl 。


宝塔面板取证


方法二:bt 14查看 或者 bt 11删除安全入口。


宝塔面板取证


4.面板操作日志被清空或default.db的logs表被篡改或者删除宝塔的web请求日志记录在 /www/server/panel/logs/request,可以查看日志进行分析。


宝塔面板取证


5.查看完整的宝塔账号

宝塔面板管理界面绑定宝塔账号是看到的是不完整的。


宝塔面板取证


绑定的账号会记录在www/server/panel/data/userInfo.json 查看即可。


宝塔面板取证


四、宝塔面板数据


1.当我们登录到宝塔面板界面,首先要关注网站和数据库数据。可以通过网站和数据库来了解服务器的部署情况和备份数据。


宝塔面板取证


2.网站

网站-备份站点-下载


宝塔面板取证


同时,在此页面很直观的就能看出服务器存在几个网站网址,方便我们对这些网站进行分析。


宝塔面板取证


3.数据库备份

数据库-备份数据库


宝塔面板取证


同时,在此页面也可获得到数据库的root密码,每个数据库的用户名和密码。


宝塔面板取证


4.服务器搭建环境

当我们在做网站重构时,服务器搭建环境相对来说是重要的,如果能得知服务器在搭建时,用的是什么数据库,服务器,版本信息等,那么我在重构时会事半功倍。


在宝塔面板页面中,可以通过在软件商店直接看面板下载了哪些环境。如下图就很直观看到这个服务器使用的是常见的LNMP环境及其版本信息。那么在我们重构时,只需要去搭建配置相同的环境就可以相对较轻松把网站搭建起来。


宝塔面板取证


总结

有部分的涉案网站也使用了宝塔面板,学习宝塔面板的使用方法,帮助我们更快对使用了宝塔服务的涉案网站进行取证。


安全为先,洞鉴未来,奇安信盘古石取证团队竭诚为您提供电子数据取证专业的解决方案与服务。如需试用,请联系奇安信各区域销售代表,或致电95015,期待您的来电!







“盘古石”团队是奇安信科技集团股份有限公司旗下专注于电子数据取证技术研发的团队,由来自国内最早从事电子数据取证的成员组成。盘古石团队以“安全为先,洞鉴未来”为使命,以“漏洞思维”解决电子数据取证难题,以“数据驱动安全”为技术思想,以安全赋能取证,研发新一代电子数据取证产品,产品涵盖计算机取证、移动终端取证、网络空间取证、IoT取证、取证数据分析平台等电子数据取证全领域产品和解决方案,为包括公安执法、党政机关、司法机关以及行政执法部门等提供全面专业的支持与服务。



宝塔面板取证

原文始发于微信公众号(盘古石取证):宝塔面板取证

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月21日21:27:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  宝塔面板取证 http://cn-sec.com/archives/1132376.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: