【连接命令行终端工具(finalshell、xshell、mobaxterm等)步骤】
1.先将服务器检材仿真
2.查看当前的IP地址: ip a
3.获取当前正在运行的应用程序(服务): ss -lntp
(出现连接不上的几种原因:1.获取sshd的端口,如果有端口但是连接不成功,尝试关闭防火墙 systemctl stop firewalld.2.如果没有看到sshd的服务 可以尝试打开sshd的服务:systemctl start sshd。 查看sshd的运行状态:systemctl status sshd ) 3.查看sshd_config配置文件是否做限定。是否限定IP地址,是否限制远程登录(在本地备份一个正常的sshd_config文件备用)。3.注意ubuntu系统默认没有开启root账户,使用普通账户进行登录。4.注意是否使用密钥文件进行登录5.注意ubuntu系统是否有黑/白名单限制,查看/etc/hosts.deny或者/etc/hosts.allow)
【宝塔相关】
1.判断有无宝塔环境:输入命令bt 无报错,有环境。
2.查看宝塔面板默认信息bt 14
3.修改宝塔面板密码 bt 5
4.是否开启Basicauth认证或者谷歌验证码认证 bt 23 或者 bt 24
5.早期版本宝塔查看绑定的手机号 find / -name userInfo.json
6.查看当前用户基本信息的数据库文件:cat /www/server/panel/data/default.db
【重构网站三个要素】
1.确定web中间件服务是否有运行(IIS、Nginx、Apache、Tomcat):
systemctl status nginx(或是直接通过云取证工作站-已安装软件查看) 如果该服务没有启动:systemctl start nginx,查看nginx搭建的网站配置信息:nginx -T
2.确定mysql服务是否启动:
在宿主机查看:systemctl status mysql(或者直接云取证工作站查看 )(常出现搭建在docker当中,只需将docker启动即可 docker inspect 查看数据库密码)
无启动 就启动他。
3.php/java/asp网站源码中的数据库配置文件信息与实际的服务信息是否匹配(1.如何查看?用云取证工作站辅助查看2.laraval网站框架优先查看根目录下的.env文件3.asp网站一般在根目录下的web.config)4.java网站先看application.yml/yaml/properties。(可以尝试直接访问网站 如果成功 信息是匹配的)
【获取网站后台地址的方式】
1.直接加/admin.php(分发网站源码)或者/admin(商城网站源码(网站源码有application 有thinkphp文件夹))
2.去查看访问日志:宝塔-网站-设置-网站日志-搜索关键词“admin”
3.查看中间件的配置文件,如1.nginx:nginx -T 2.apache:http -V 3.tomcat:server.xml 4.IIS直接可视化界面查看
【如何登录网站后台】
1.先找到后台地址
2.在数据库当中确定管理员账号(在Navicat中,“工具”-“在数据库中查看”-搜索“admin”关键词),相对应的密文在在线的查询网站进行查询(cmd5.com或somd5.com)或用云取证助手.
3.如果在线查询网站没查到,可以尝试在前台注册一个账号,利用该账号所设置明文密码的密文进行替换。如果加密方式不一致,需要找到网站后台的加密方式(以相同的加密方式生成哈希值进行替换)。
【用navicat连接mysql步骤】
1.获取当前mysql的端口:ss -lntp或查看docker映射出到宿主机的端口
2.获取当前mysql的root密码(查看网站源码当中的数据库配置文件或者docker inspect)
3.填写ssh相关信息(通过ssh连接可以解决数据库没有开启远程连接权限的问题)
4.navicat连接界面:1.直连:“常规”填写的是数据库的信息,主机设为当前IP地址,用户名为mysql用户名 (如果有root优先登录),密码为数据库密码(docker inspect ),端口为mysql的端口(注意docker搭建的mysql是映射出来的端口)。第二种 :配合ssh连接(通过ssh连接可以解决数据库没有开启远程连接权限的问题)。联机 "ssh选项“填写ssh信息,主机:当前环境的IP地址,端口即ssh的端口,账号是linux的root账号 密码123456(要注意在“常规”下将主机设为"localhost")
【如何找到网站后台的加密方式】
1.先导出网站源码(取证工具导出或者借助宝塔或者终端连接工具导出)
1.使用管理员账户进行登录 查看报错信息
2.利用数据库当中管理员表中的特殊字段名
navicat连接不上原因:
1.数据库远程连接权限:使用ssh连接即可
2.防火墙:关闭防火墙 systemctl stop firewalld
3.数据库账号权限:
执行 mysql -u root -p 命令后输入数据库密码,进入数据库操作命令操作
mysql> use mysql; //切换mysql数据库
mysql> select host,user,password from user; //查看user表的相关信息
mysql> update user set host = ’%’ where user = ’root’; //更新root的host
(如果要修改密码的话:mysql> grant all privileges on *.* to root@'%' identified by "root的密码"; //赋权)
mysql> flush privileges; //刷新生效
全部执行完,再去开放数据库的服务端口如3306或关闭其防火墙服务。
【如何查看数据库权限】
mysql -uroot -p 连接数据库;
use mysql;
select user,host from user;
【mysql数据库绕密】
1、找到mysql的配置,linux系统下名为my.cnf,windows系统下为my.ini
2、编辑配置文件,下面以linux为例:
systemctl stop mysqld //开始前先停止mysql服务
vi /etc/my.cnf //编辑my.cnf文件
在[mysqld]下面增加下面代码保存skip-grant-tables //跳过权限检查
systemctl start mysqld //启动mysql服务
mysql -u root //直接连接数据,自动跳过密码验证
mysql>use mysql; //切换mysql数据库下
mysql>update mysql.user set authentication_string=password('123456') where user='root'; //更新设置root的新密码为123456
mysql>flush privileges; //刷新权限
mysql>quit; //exit;退出连接
vi /etc/my.cnf //编辑my.cnf文件 删除 skip-grant-tables
systemctl restart mysqld //重启mysql服务
注:不修改文件可使用mysqld_safe --skip-grant-tables & 跳过权限检查,
如果mysql -u root 提示command not found 可全盘搜索mysql,进到安装目录的bin进行命令操作
3、如果是mysql在docker中,进入docker找到mysql配置文件,进行修改
或拷到宿主机上进行修改,替换回去后再重启mysql容器
docker cp mysql容器名:/etc/ /data/my.cnf //从容器中拷出配置文件到宿主机目录
docker cp /data/my.cnf mysql容器名:/etc/ //替换覆盖配置文件
【简单的linux命令】
1.查看当前所在的目录 pwd
2.列出当前文件夹下所有的文件(包含隐藏文件) ls -a
3.查看某个文件的内容 cat
4.查看历史命令 history
5.切换目录 cd /
6.查看nginx的配置信息:nginx -T
7.全局查找.png图片为例 find / -name *.png
8.查看某个进程/应用程序的详细信息:ps -ef | grep nginx
9.切换用户 su root
【磁盘相关】
查看磁盘的分区情况:
1.查看设备的磁盘情况:fdisk -l 或者 lsblk
2.查看当前挂载情况:df -T
3.卸载命令:umount /dev/sdb1 /www
4.挂载命令:mount /dev/sdb1 /www
【计划任务】
查看当前计划任务:crontal -l
linux系统下计划任务的文件:.sh(find / -name *.sh) windows系统下计划任务的文件:.bat
【如何确定挂载的目录?】
1.一般挂载的目录当中需要含有网站源码或者数据库(关注历史命令中的cd动作或者查看docker的挂载点,如果)
2.查看上次挂载目录命令(可能有坑 上次挂载就挂载错误的目录):dumpe2fs -h /dev/sdb1
3.首先看网站源码在哪个目录(网站的配置文件(nginx -T)或者云取证站),打开其目录,如果没有源码或者数据 就是需要挂载的目录
4.查看历史命令当中cd的动作 或者mkdir 再进行确认
【现勘流程规范】
1.对现场情况进行拍照(检材的铭牌信息拍照)
2.对现场的情况进行检查:检查现场检材有哪些:纸质材料 U盘等(拍照)
3.去检材计算机是否有密码:如果有的话 是否可以通过现场的线索进入
4.插入取证U盘:
(1)打开录屏软件
(2)新建“0925xx案件电子数据-录屏-保存的文件“
(3)校验北京时间
(4) 对当前的窗口进行截图
(5)查看当前剪切板的数据
(6)查看有无正在编辑的word文档(文件-另存到取证U盘)
(7)去查看hosts文件:C:WindowsSystem32driversetc
(8)固定涉案数据:会给个案件背景:在此案件背景下 去挖掘相关的涉案电子数据(或是用快勘精灵)
(9)将“0925xx案件电子数据”打包成压缩包,现场计算哈希值。
(10)结束录屏,计算录屏文件哈希值。并记录在现场提取记录表当中。
(11)现场制作文书(电子数据现场提取笔录)
【docker基础命令】
(判断有无docker: docker 或者云取证工作站查看)
1.启动docker服务:systemctl start docker(查看docker服务状态systemctl status docker)
2.查看当前所有的容器:docker ps -a
查看当前已启动的容器 docker ps 查看当前镜像 docker images
3.启动docker容器:docker start 容器ID
4.判断容器是否启动成功、查看当前在线的容器:docker ps(3306->3306 外(宿主机、映射出来的端口)->里(docker容器里的端口) )
5.查看docker详情:docker inspect 容器id (如容器创建时间、挂载的目录(映射出来的目录)、mysql的密码、数据库版本)
6.进入docker: docker exec -it 容器ID /bin/bash
7. 查看docker的镜像仓库cat /etc/docker/daemon.json 或者find / -name daemon.json 找到配置文件后再进行查看
txt文档链接在公众号后台恢复“txt”关键词即可获取。
原文作者关注微信公众号:小谢取证
扫取二维码获取
更多精彩
小谢取证
