服务器取证技巧杂项

2024-09-22
  1. 当主机ip地址不能ping通外部时:
    1. 为了能够上传和下载文件,最好用finalshell进行连接
    2. 得先进行虚拟机的配置(虚拟网络首选项),用NAT网连接,把NAT网的子网IP网络地址配置得跟靶机的ip的网络地址一致
  2. 在网站的文件地址处看到很多的jar包时要考虑:
    1. 如果有很多的 jar 包在同一个文件夹,则考虑:
      1. 这个文件夹可能就是网站 jar 包存放的目录
    2. 是不是基于 Spring 架构搭建的网站:
      1. 如果是:
        1. 则用 history 命令,来复现网站的搭建
        2. 可能需要特定的 .sh 文件,这个得顺着题意来,可能会在别的检材里找到对应的启动 .sh 文件
        3. 以及要注意一些 spring boot 框架的知识:
          1. 配置文件:
            1. Application.properties : 这个配置文件记录了数据库连接、服务器端口、日志配置等等用于定义应用的各种属性
            2. 一般位于每个 jar 包的class目录下
          2. 语法审计:
            1. @Value(“${bdtop.system.md5.key}”)
            2. private String md5Key;
            3. 如果看到这样的,前面有个system的,一般在对应 jar 包的application.properties里面找
  3. 一些linux系统的杂项:
    1. 用 last 命令可以看到上一次登录靶机的用户信息:
      1. 用户名,以及登录的IP地址
    2. 操作系统发行版本可以在 /etc/centos-release 里面看到
    3. 绑定的静态ip:
      1. 在 /etc/sysconfig/network-scripts 里面可以看到
      2. 也可以直接 ifconfig