技战法:浅谈镜像取证

admin 2024年12月10日17:20:51评论17 views字数 2098阅读6分59秒阅读模式

免责声明本公众号 太乙Sec实验室 所提供的实验环境均是本地搭建,仅限于网络安全研究与学习。旨在为安全爱好者提供技术交流。任何个人或组织因传播、利用本公众号所提供的信息而进行的操作,所导致的直接或间接后果及损失,均由使用者本人负责。太乙Sec实验室及作者对此不承担任何责任

实验环境:

主机名

IP

账号

环境

root

内网

zs

VMware

VMware仿真

若想要通过虚拟机打开镜像需要兼容支持VMDK格式,这里我们就需要用到IMG转VMDK格式的软件,推荐使用StarWind V2V Converter

技战法:浅谈镜像取证

打开软件,选择本地文件。导入需要转换的IMG文件。

技战法:浅谈镜像取证

选择目标文件格式,如VMDK、VHD等,通常选择第一种。

技战法:浅谈镜像取证

选择目标文件位置并输入名称,然后开始转换,耐心等待转换成功即可。

技战法:浅谈镜像取证

环境配置

在 CentOS 系统启动过程中,GRUB(Grand Unified Bootloader)负责加载内核并引导系统启动。按一次 “e” 键可以进入 GRUB 的编辑模式,在这个模式下我们能够对启动参数进行临时性的修改,以便实现后续特殊的启动流程来达到我们的目的,比如绕过密码验证等。
技战法:浅谈镜像取证
网络配置可以使用 ip addrifconfig 命令查看现有网络接口名称,如常见的 eth0ens33 等。
技战法:浅谈镜像取证
根据当前路由环境设置
技战法:浅谈镜像取证
SSH配置
使用sudo systemctl stop firewalld命令暂时关闭防火墙
sudo firewall-cmd --add-service=icmp --permanent 命令添加规则允许 ICMP(ping 相关)请求,添加完成后执行 sudo firewall-cmd --reload 命令重新加载防火墙规则,让新规则生效,之后再试试能否 ping 通。

打开 /etc/sysconfig/network-scripts/ifcfg-eth0 文件(以实际接口名为准),内容可能类似如下:

TYPE="Ethernet"BOOTPROTO="dhcp"  # 如果是手动指定 IP 则这里会是 static 等其他设置,根据实际情况查看DEFROUTE="yes"PEERDNS="yes"PEERROUTES="yes"IPV4_FAILURE_FATAL="no"IPV6INIT="yes"IPV6_AUTOCONF="yes"IPV6_DEFROUTE="yes"IPV6_PEERDNS="yes"IPV6_PEERROUTES="yes"IPV6_FAILURE_FATAL="no"NAME="eth0"UUID="xxxxxx"DEVICE="eth0"ONBOOT="yes"  # 要确保此项为 yes,这样开机时网络接口会启动

软路由技巧

流量走软路由网关,可以清楚看清楚相关进程的网络请求,可以设置不访问互联网,保证镜像安全性!
技战法:浅谈镜像取证
宝塔取证基础
查看宝塔默认信息以及更改密码
技战法:浅谈镜像取证

宝塔面板/www/server主要目录

技战法:浅谈镜像取证
/www/server/宝塔面板相关服务及文件的根目录。/www/server/addon/宝塔面板插件存放处,用于扩展面板功能。/www/server/apache/存放 Apache 服务器相关文件,含二进制文件、配置、日志、模块等。/www/server/database/宝塔面板程序数据库目录,涵盖 MongoDB、MySQL、Redis 数据库相关内容。/www/server/ftp/存放 FTP 服务器相关文件,有 Pure-FTPd 和 VSFTPD 相关部分。/www/server/init.d/宝塔面板服务启动脚本所在目录。/www/server/libs/面板依赖的库文件存放地。/www/server/mysql/包含 Mysql 数据库备份、数据存储、配置等各类相关文件。/www/server/nginx/存放 Nginx 服务器相关文件,像配置、日志、二进制文件等。/www/server/panel/宝塔面板程序自身目录。/www/server/php/存有 PHP 不同版本、配置、扩展库等相关文件。/www/server/PureFTPd/PureFTPd 服务器相关文件存放处。/www/server/sbin/宝塔面板核心命令文件目录。/www/server/src/宝塔面板核心源代码目录。/www/server/ssl/SSL 证书相关文件存放地。/www/server/tomcat/Tomcat 服务器相关文件存放处。/www/server/tmp/临时文件目录。/www/server/uninstall.sh/宝塔面板卸载文件所在位置。/www/server/vsftpd/VSFTPD 服务器相关文件存放处

重点目录panel

panel目录 //存放宝塔面板的主要程序文件,如 admin 目录、BTPanel 目录、data 目录等。config //宝塔面板程序配置文件data //宝塔面板程序数据目录log  //宝塔面板日志目录
技战法:浅谈镜像取证

使用宝塔取证软件登录服务器,其日志详细记录了用户的每一步操作。

技战法:浅谈镜像取证  

往期精彩回顾

技战法:软路由在红队匿名中的运用

关注我,了解更多知识,别忘+看哦!

原文始发于微信公众号(太乙Sec实验室):技战法:浅谈镜像取证

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月10日17:20:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   技战法:浅谈镜像取证https://cn-sec.com/archives/3490956.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息