下载后是个7z压缩包,解压后是个img镜像
还是用AccessData FTK打开
File -> Add Evidence Item...,选择打开image file
选择文件,点击Finish
看到这么多目录文件,这次我们要找的是bash的执行历史记录,一般在用户家目录下。~/.ash_history
打开这个文件
看到关键的一行
mysql -uroot -p79651eb2ebecae051
这条命令就是用登录用户名为root的用户,-p后面的就是密码了
下载后是个7z压缩包,解压后是个img镜像
还是用AccessData FTK打开
File -> Add Evidence Item...,选择打开image file
选择文件,点击Finish
看到这么多目录文件,这次我们要找的是bash的执行历史记录,一般在用户家目录下。~/.ash_history
打开这个文件
看到关键的一行
mysql -uroot -p79651eb2ebecae051
这条命令就是用登录用户名为root的用户,-p后面的就是密码了