电子取证服务器知识点总结

本章总结一下电子取证中服务器部分题目经常遇到的一些知识点

服务器初始化

这一步我觉得是最重要的，因为虽然检材解压出来是本地的虚拟机，但是网卡什么的还是要自己配一下的，能不能出网先不谈，最起码你要和物理主机可以相互ping通吧，要不然后面服务器网站重构什么的，本地都访问不了，题肯定也做不下去，所以首要的先是对服务器进行初始化配置，包括网卡、ssh连接(你也不想对着命令一个字母一个字母的输在那难看又难用的vmware虚拟机终端上吧……)

网卡设置

三种网络模式大家应该都熟悉，桥接模式 (Bridged)、NAT 模式 (NAT)、仅主机模式 (Host-Only)，我推荐仿真的时候就用NAT模式或者桥接模式， 仅主机模式就算了吧，根本出不了网。

一般用仿真工具仿真好就能ip addr看到静态ip，但有的服务器检材可能会破坏网卡信息，这个时候我们就需要自己去配置网卡，配置ip

vim /etc/sysconfig/network-scripts/ifcfg-eth0  #Red Hat/CentOS/Fedora
vim /etc/network/interfaces/  #传统模式下的ubuntu的网卡配置文件
vim /etc/netplan/     #默认模式下的ubuntu网卡配置文件
#这种模式配置完成后用 sudo netplan apply 应用网卡服务

这些事常见的，如果不能找到，可以去搜一下对应的系统及其版本号，然后找到对应的配置文件的框架修改就好了

如果还是不能和物理机互通，那么可以手动更改网络适配器，拿24年的fic比赛为例

网关改为集群服务器给的192.168.8.2

ssh配置连接

举一个栗子，拿25年的平航杯为例

yum list installed | grep openssh-server #查看ssh是否安装
sudo apt-get install openssh-server #没安就装
sudo service ssh start #开启
sudo vim /etc/ssh/sshd_config #编辑ssh配置文件(若未安装vim,则需先安装vim,或者使用vi,个人认为vim更美观).

vi /etc/ssh/sshd_config    #编辑ssh的配置文件

ssh连接成功

到此服务器简单的初始化完成

特殊情况:登陆检测

忘了那一届的比赛了，当时如果按以往的套路火眼仿真进去，系统会进行一个登录密码验证，比如24年的龙信杯(相信不少人都没删掉当时的那个验证文件，然后在一个删除完重要文件的空壳中做题…)，登陆成功后会删除掉所有有关网站站点以及docker的文件。

可以提前先在火眼或者xway中找一下哪一个文件是登陆验证文件，如果非必要情况下，最好不要绕密，能用原来的密码就用原来的密码登陆进去，后面做题方便好多。

先进到一个单用户模式:

在系统启动时，内核启动顺序选择界面里摁e

然后找到rhgb quiet ，在后面加上**rw single init=/bin/bash**

强制系统以单用户模式启动，并直接进入一个具有 root 权限的 Bash shell 环境，然后ctrl+x保存

操作完直接重启虚拟机即可

速通前几道题

服务器部分的前几个题一般比较简单，通过火眼、取证大师这些取证软件一般就能直接唆出来，这里简单列举可能用到的一些常用的命令吧

与系统信息有关

uname -r  #查看系统内核
cat /etc/group #查看用户组
zfs list -t snapshot #列出系统快照 

setting里看虚拟机的作业系统

Raid重组，磁盘挂载

fdisk -l #列出磁盘
mount 磁盘 +目录
#比如 mount /dev/sdb /data

与日志有关

lastlog  #查看ssh登录用户
lastb -f  #btmp 查看btmp日志文件 通常在/var/log/btmp里，会显示一些登录失败的信息
var/log/auth.log #里有linux系统root用户，ssh认证，登录记录
show variables where Variable_name='general_log_file';  #命令找到MySQL日志路径
#这里一般考的是数据库被修改之后相关的问题

与docker有关

docker.compose.yml文件里有docker的配置信息，可以去找里面的端口

docker inspect 
docker images	
systemctl status docker
docker logs

与nginx和apache有关

与mysql数据库有关

感觉最常问的就是数据库的密码，总结以下方法。

方法一：运气好点在my.ini或者my.cnf里找到，先去搜一下这两个文件。

方法二：去网站根目录下的配置文件里找，如果是java站点，就去找application，php网站可能在**config.php，wp-config.php**等等。

方法三：去内存取证，用lovelymemb或者volatility手搓。

方法四：如果是docker容器搭建，可能会在Docker 环境变量里。

方法五：bt面板里可能有数据库连接密码

方法六：去linux历史命令里找，里面有可能会有配置数据库的命令

mysql目录

mysql的配置文件所在目录有的时候可能会有三个，分别是/data/mysql，和/var/lib/mysql，/etc/mysql。

/data/mysql：通常作为 Docker 容器外部挂载的数据目录，用于持久化存储 MySQL 数据（可自定义）。

/var/lib/mysql数据目录是docker容器内部的目录，很有可能是物理机中的mysql挂载到了docker容器内部，因为docker容器里的mysql数据库是一个轻量级linux系统，也是有var，bin，etc等等这些目录的。

/etc/mysql是MySQL 配置文件目录。

在 Docker 部署中，通常会将宿主机的 /data/mysql 目录挂载到容器的 /var/lib/mysql 目录，从而实现数据的持久化。/etc/mysql 目录则用于配置容器内的 MySQL 服务器。

mysql绕密并实现navicat连接

拿数证杯的初赛为例

先关闭防火墙

systemctl stop firewalld

尝试登陆mysql发现一直提示密码错误，考虑skip-grant-tables绕密登陆数据库

docker exec -it mysql8.0.39 bash  #docker images可以看到容器id

sed -i '/\[mysqld\]/a skip-grant-tables' /etc/my.cnf
exit

这一步为了写入到/etc/my.cnf，实现绕密

docker restart f29ed5271c46 #重启容器

docker exec -it f29ed5271c46 mysql -uroot

两次空格直接绕过密码登陆到mysql

改掉root，localhost的密码为123456

FLUSH PRIVILEGES;
ALTER USER 'root'@'localhost' IDENTIFIED BY '123456';
ALTER USER 'root'@'%' IDENTIFIED BY '123456';
FLUSH PRIVILEGES;
exit

sed -i "s/skip-grant-tables/ /" /etc/my.cnf
exit

删除掉skip-grant-tables

docker restart mysql8.0.39

最后navicat连接成功

与宝塔有关

bt命令重置密码，启动面板，进入宝塔页面

建议用panelf-forensic这个工具，一些面板的基本信息都可以出

宝塔里面的日志里可能有敏感信息

建站

注意启动脚本，如果在linux历史命令里看到被删除了，可以去火眼里恢复并导入进虚拟机里再打开

java网站

去jar包里找配置信息，尤其注意mysql数据库的密码，有的可能会调用另一台服务器里的mysql数据库，这时也要去对应的data服务器里打开，保证能够连接的上，