服务器取证的个人小招

做了几个服务器取证的题目

个人感觉前期跟靶机渗透差不多

后期的网站重构就得需要代码审计了

1.服务器仿真登录

用虚拟机挂载了服务器后想进行仿真，但是不知道root密码？

用取证大师挂载服务器检材，找到 /etc/shadow 里面对应root的那一长串的加密码

复制到自己的kali机里进行 john 爆破，这里面有破解方法

可能需要一点时间，比赛的话建议先挂着进行爆破

实在破不出，那只能用仿真大师来进行改密登录了

2.服务器mysql得免密登录

方法一：

这个简单，只要你是root，就可以对 /etc/my.cnf 进行修改

vi /etv/my.cnf

然后在第二个板块下添加 skip-grant-tables

添加之后记得重启mysql服务 service mysqld restart

这是第一个方法，可以在不修改密码、不破坏检材环境的情况下进入数据库

方法二：

这个法就需要熟知网页数据库的配置文件的位置了

一般是在 /www/wwwroot/域名/database.php 里面

实在找不到，可以

find /www -name 'database.php'

都会在 /www 这个大文件下面的，不可能放在外面

找到 database.php 后，对其进行 vi 修改

找到用户配置信息的那个模块

修改对应用户的 password 就行了

这里有个小技巧， 在 vi 编辑器里，先按ESC，然后按 / ，就可以就行字符查找

然后输入对应的用户名和修改后的密码就可以登录mysql了

这个方法会修改mysql用户的密码，如果后面题目有问到则不利于答题

方法三：

在方法二的基础上，找到对应的密码后，不修改直接使用这个密码登录

就是比较麻烦去保存这个密码

3.网站重构：

一般都可以通过宝塔界面来进行网站登录

/etc/init.d/bt defualt

可以显示宝塔的配置信息

在shell命令行中输入 bt ，可以出一些控制相关的选项

进入到宝塔后台网页后可以看到一些信息，从这些信息中找到题目问的

然后深入挖掘子网

一般对于子网就得找到对应的 database.php 进行数据库链接配置，完成对子网的访问

再通过对登录代码的审计进行绕密admin登录

接着就是分析题目所问，对数据库里的数据信息进行分析答题