题目给的是阿里云服务器导出的raw镜像
为了仿真模拟,需要把raw转换为vmdk虚拟机磁盘文件,然后导入虚拟机启动仿真环境
参考华为云教程:https://support.huaweicloud.com/bestpractice-ims/ims_bp_0030.html
使用qemu-img转换镜像格式
qemu-img convert -f raw ./AFEWgf_m-f8zj02psjoasq9hitdu2_system.raw -O vmdk ./solar-3.vmdk使用DiskGenius打开虚拟磁盘vmdk文件可以看到系统为centos7
新建虚拟机选择centos7、4h4g,然后导入vmdk文件并保持现有格式
启动虚拟机后发现卡在如下界面
我们重启在菜单界面按e修改启动项配置
删除掉静默模式以及网卡串口的配置,改为
rw init=/sysroot/bin/sh
然后按ctrl+x继续启动即可成功进入shell环境
此时只是一个临时的shell,网卡配置都没起来,系统还在sysroot目录中没挂载
先按如下命令修改root的密码
mount -o remount rw /sysrootchroot /sysrootLANG=Ctouch /.autorelabelpasswdexitreboot
然后重启发现提示piix4_smbus启动失败
重来上一步骤进入shell环境,并在如下文件中添加一行
mount -o remount rw /sysrootchroot /sysrootLANG=Cvim /etc/modprobe.d/blacklist-nouv.confexitreboot
然后重启再次按e进入启动项配置,此时网卡和串口的配置不动,删除掉静默模式的开关配置rhgb quiet,继续ctrl+x启动
卡在这里稍等一下
成功进入到仿真环境中了,ifconfig看一下ip即可直接ssh连接环境继续取证
查看服务器外连情况
查看cpu占用较大的进程
参考资料:
https://www.n0o0b.com/archives/solar-3
https://www.cnblogs.com/fieldtianye/p/17759673.html
原文始发于微信公众号(智佳网络安全):【Solar应急响应3月赛】阿里云raw镜像取证
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论