元芳科普 | 如何拿到网站管理后台密码?

admin 2022年11月16日20:45:18安全文章评论26 views4554字阅读15分10秒阅读模式

我们在涉网犯罪的侦查和取证过程中,时常会遇到系统镜像、服务器镜像等概念,那么,什么是镜像呢?


通俗来说,镜像就像拍照一样,是服务器在某一时间点的磁盘文件的完全拷贝,也就是原模原样的复制。


镜像也可以说是一种文件形式,我们可以把许多文件做成一个镜像文件。比如你的电脑系统中本来有很多文件,现在需要备份,可以将其全部放置到一个镜像文件,然后放在U盘里,在需要使用时还原成原来文件状态。


01

镜像文件格式


镜像文件是无法直接使用的,可以利用一些虚拟光驱工具进行解压后查看,也可以借助VMware-converter、Proxmox VE对它进行还原,还原之后才可以查看。


我们常见的镜像文件格式存在以下几种(主要例举调证常见文件):


格式

释义

DD/RAW

不带任何压缩的二进制存储数据结构,扩展名可能是dd,raw等。

VMDK

VMware Workstation 和 VirtualBox等虚拟机中使用的硬盘文件,该格式最初是由 VMware 为其虚拟设备产品开发的,在VMDK 5.0版发布之后成为一种开放格式,是开放虚拟机格式文件中用于虚拟设备的磁盘格式之一。

当然其他虚拟机软件也支持这种格式,比如QEMU,VirtualBox,Parallels。VMDK的文件签名是 KDMV

VHD

最早由Conectix公司发明用于Virtual PC产品,在2013年微软收购了Connectix,这种格式就被微软接受。

VHD的文件签名是conectix。

QCOW

QCOW是QEMU使用的磁盘格式,支持AES-CBC加密,目前已经发展到第三个版本,但只使用qcow和qcow2这两个扩展名。

QCOW因为其延迟分配空间来优化性能而出名,就如名字写的Copy-On-Write。

E01

隶属于EWF(Expert Witness Compression Format)。E01是EWF中最为知名的一种镜像格式,致力于以压缩的形式存储二进制数据流,其标准也贴心的考虑到了用于存储原始镜像hash的字段。除了E01以外,EWF标准还提供了E01的升级版Ex01,还有用于存储逻辑文件集合的L01格式。

E01文件签名是 EVFx09x0dx0axffx00


02

获取镜像文件

在打击网络犯罪过程中,执法人员可能通过司法调证、某些技术手段等途径获得服务器的镜像文件;


司法调证

根据调证公司提供的文件为准,不同的公司提供的文件格式可能不一样,比如RAW/QCOW2/VMHD/VHD文件

  • 相关公司调证方式可以登录无糖浏览器使用【反诈调证指南】应用搜索,或加入无糖反网络犯罪研究中心私聊【元芳】机器人获取哟。


技术手段

  • 远勘
  • 现勘:现勘人员现场提取的镜像,固定证据的镜像文件,为保证数据一致性,一般采用DD拷贝,镜像文件大小受嫌疑人的被镜像硬盘的大小决定。


拿到镜像文件之后,通过镜像文件能获取到什么?该怎么还原镜像文件得到有效信息呢?我们一起探索一下吧。


在案件侦办过程中,不法分子如果使用的云数据库等云服务开启了审查,当办案人员利用公网冒然登录连接,被不法分子察觉到,那么他们可能会对线索立刻销毁,这也妨碍我们继续追踪打击,因此最好在无网的情况下进行操作。


03

镜像操作

为了防止系统出现操作失误或系统故障导致数据丢失,从而保证数据的完整性,建议通过只读的方式进行操作,或者先给重要节点进行备份后再尝试操作。

1
导入镜像


创建虚拟机

还原镜像文件内容前,我们先讲解一下如何导入镜像文件,接下来以Proxmox VE软件为例,软件界面展示如下图:


元芳科普 | 如何拿到网站管理后台密码?


点击右上角[创建虚拟机],首先创建一个空白虚拟机


元芳科普 | 如何拿到网站管理后台密码?


  • 创建虚拟机的第一步:选择安装的节点,输入虚拟机的名称和ID,VM ID一般默认按顺序排下来


元芳科普 | 如何拿到网站管理后台密码?


  • 第二步:选择镜像来源和虚拟机的类型


元芳科普 | 如何拿到网站管理后台密码?


  • 第三步:选择[默认]即可


元芳科普 | 如何拿到网站管理后台密码?


  • 第四步:配置硬盘类型和大小,存放位置,我们这里选择SCSI接口,放在名称为local-lvm的池里面,容量设置1GB,选择就是SCSI接口,要先装驱动再装系统,若驱动原因选择IDE和SATA安装时可以避免驱动问题。


元芳科普 | 如何拿到网站管理后台密码?


  • 第五步:配置CPU核心数和个数,这个根据需求和实际硬件情况而定


元芳科普 | 如何拿到网站管理后台密码?


  • 第六步:配置内存大小,当然这个不可以超过实际大小,一般是4的倍数


元芳科普 | 如何拿到网站管理后台密码?


  • 第七步:配置网络,选择使用哪个网卡和模式,我们选择VirtlO(半虚拟化)


元芳科普 | 如何拿到网站管理后台密码?


  • 最后一步:完成,确认好前期设置的内容,就可以启动安装了。


元芳科普 | 如何拿到网站管理后台密码?


虚拟机创建完成后,右侧的数据中心就会出现一个空白的虚拟机配置文件[102 VM(102)],其ID为就为‘102’;


元芳科普 | 如何拿到网站管理后台密码?


导入镜像文件前,我们首先需要删除1G的硬盘,为导入做准备。


  • 选择【硬盘】-分离;


元芳科普 | 如何拿到网站管理后台密码?


  • 点击【是】


元芳科普 | 如何拿到网站管理后台密码?


  • 分离完后,虚拟机


元芳科普 | 如何拿到网站管理后台密码?


导入镜像



mobaxterm 执行导入命令


通过任意客户端(如putty、xshell、mobaxterm)中ssh连接Proxmox VE的shell环境,


  • 启动mobaxterm,点击【会话】-【SSH】-输入远程主机192.68.17.128,指定用户名:root


元芳科普 | 如何拿到网站管理后台密码?


  • 镜像上传


元芳科普 | 如何拿到网站管理后台密码?


  • 导入镜像


元芳科普 | 如何拿到网站管理后台密码?


执行命令:qm importdisk 102 sample - raw.raw  qm importdisk 命令执行后,会列举导入目标位置,选择一个位置,输入新的命令:qm importdisk 102 sample - raw.raw vm-disk


如下图所示:


元芳科普 | 如何拿到网站管理后台密码?


设置启动项

导入完成后,会在Proxmox VE软件中的虚拟机下出现一个未使用的磁盘;


元芳科普 | 如何拿到网站管理后台密码?


  • 然后设置好启动项,【选项】-【引导顺序】;


元芳科普 | 如何拿到网站管理后台密码?


  • 启动项选择设备[scsi],点击确定;


元芳科普 | 如何拿到网站管理后台密码?


  • 引导顺序变更为[scsi]。


元芳科普 | 如何拿到网站管理后台密码?


到此,导入镜像文件的所有操作便执行完毕。


启动镜像文件

如下图所示顺序,点击启动后,选择控制台进行后述的操作。


元芳科普 | 如何拿到网站管理后台密码?

2

修改网站后台密码

在进行操作前我们简单讲解一下几个知识点,以便认识操作步骤:




centos和linux的关系

  • centos是基于linux建立的操作系统;

  • linux属于内核系统,只有终端命令界面,无图形界面,而centos同时拥有终端命令界面和图形界面;
  • linux和centos都是属于开源系统。




SELinux安全策略

  • Linux系统为了避免任何人只要得到root的权限,就可以对整个系统为所欲为的情况,便部署了SELinux安全策略,因而在进行修改密码任务前,可以先关闭SELinux策略



net-tools工具箱

  • net-tools工具箱包括arp, hostname, ifconfig, netstat, rarp, route等命令。



linux常用命令学习

  • Netstat是控制台命令:是一个监控TCP/IP网络的非常有用的工具,它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。
  • /etc/fstab是用来存放文件系统的静态信息的文件。位于/etc/目录下,可以用命令cat/etc/fstab 来查看,如果要修改的话,则用命令 vi /etc/fstab 来修改。
  • find :用于在文件树中查找文件,并作出相应的处理。
  • cd命令:进入要目录 cd /



宝塔linux命令

  • 启动:/etc/init.d/bt start
  • 查看当前面板端口:cat /www/server/panel/data/port.pl

  • 修改面板密码,如要改成123456:cd /www/server/panel && python tools.py panel 123456



启动系统

第一步:启动镜像文件


假设我们拿到一个镜像文件,在不知道他的登录密码的情况下,我们如何去获取密码或修改密码?按照上述操作后,导入镜像,开机启动,以一个centos系统为例,到下方界面的时候,按E键进入自定义启动模式


元芳科普 | 如何拿到网站管理后台密码?


指定启动环境进入bash,在启动项后面添加:init=/bin/bash然后Crtl+X 进入环境,


元芳科普 | 如何拿到网站管理后台密码?


第二步:提权


为确保修改密码生效,执行命令:mount –o remount,rw /  进行提权。


元芳科普 | 如何拿到网站管理后台密码?


第三步:关闭SELinux策略


执行命令:sed -i 's/^SELINUX=enforcing$/SELINUX=disabled/' /etc/selinux/config


查看运行的进程服务

如果你对系统环境并不熟悉,也不清楚系统在运行哪些服务,你会如何检查?


查看系统上运行的服务有什么作用?简单来说结合进程名加端口,能基本判断运行的服务。例如:8888 进程名python,能基本判断系统运行了宝塔面板,进一步操作宝塔面版得到相关数据

当系统无法启动时,大概率为UUID的改变,导致无法加载boot分区,修改/etc/fstab改成真实路径来恢复启动。


本次使用的镜像文件为阿里云提供,阿里云特别说明,需要删除/etc/cloud目录,屏蔽cloud-init的对系统启动的影响,因此,需要先打印硬盘分区,修改挂载目录。


元芳科普 | 如何拿到网站管理后台密码?


第四步:查看磁盘分区:vi/etc/fstab 并执行命令:打印硬盘分区情况 lsblk


元芳科普 | 如何拿到网站管理后台密码?


第五步:修改挂载目录到 /dev/sda1


元芳科普 | 如何拿到网站管理后台密码?


执行netstat命令是了解当前系统开放了哪些端口,并且要查看开放这些端口的具体进程和用户。一般情况下,执行netstat命令就能查看到对应的服务,操作如下:


第六步:执行查看当前本机监听的端口已经对应的服务:nestat -ntlp


元芳科普 | 如何拿到网站管理后台密码?


第七步(可跳过):遍历搜索find / -name '*nginx*'

可能获得域名信息、站点信息、网站入口等有效信息,当嫌疑人使用反向代理,可能就获取不到数据。该操作是在行netstat命令未监听到端口的情况下,可执行。前面已经监听到端口为8888,可确定为宝塔面板,此步可跳过。


元芳科普 | 如何拿到网站管理后台密码?


执行修改密码并登录

第八步:初次访问涉案网站


我们在日常办案过程中,遇到较多的可能是宝塔面板的,接下来我们就以一个宝塔地址为例,宝塔面板管理界面通常是:8888,我们在浏览器里新建网页输入网址:192.168.66.48:8888(该网站现已关闭)


元芳科普 | 如何拿到网站管理后台密码?


初次访问面板登录地址,没有输入后面的安全入口地址,会弹出一个安全入口校验失败的页面,该页面就有解决的办法,具体如下图所示,复制好命令:/etc/init.d/bt.default


元芳科普 | 如何拿到网站管理后台密码?


第九步:执行安全命令,获取默认账号密码


通过虚拟机查看面板入口,执行命令:/etc/init.d/bt.degault,便能获取到面板的登录账号和默认密码,复制下面的网址:http://192.168.66.48:8888/335d4174 重新打开登录页面,一般来说,嫌疑人都会修改他的默认登录密码,所以在我们登录之前,也可以先修改密码。


元芳科普 | 如何拿到网站管理后台密码?


第十步:修改密码


输入命令进入目录:cd/www/sever/panel/


元芳科普 | 如何拿到网站管理后台密码?


然后重置密码:python tools.py.panel 123456


元芳科普 | 如何拿到网站管理后台密码?


第十一步:再次访问登录网站


将密码重置为123456后,使用上面获取到的账号tljwaggb,便可进入他的宝塔面板,查看面板操作日志,登录信息等。


元芳科普 | 如何拿到网站管理后台密码?

元芳科普 | 如何拿到网站管理后台密码?


本文以一个已有宝塔面板的镜像为视角切入,进入面板后能够可视化的查看镜像内的站点数据、数据库、备份数据、面板登陆IP记录等重要信息。


大部分宝塔涉案的面板的信息基本上都能够在面板内体现,服务器上反而很少信息,如遇到嫌疑人已经操作清理过数据,必要时可结合数据恢复软件(如diskgenius、winhex)进行数据恢复,查看删除的数据内是否有所需信息。


注:本文转载自无糖反网络犯罪研究中心

原文始发于微信公众号(明不可欺):元芳科普 | 如何拿到网站管理后台密码?

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月16日20:45:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  元芳科普 | 如何拿到网站管理后台密码? http://cn-sec.com/archives/1413875.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: