墨者学院靶场Linux硬盘文件分析取证(恢复文件)

最新推荐文章于 2022-12-22 16:05:27 发布
最新推荐文章于 2022-12-22 16:05:27 发布
阅读量476 收藏 1
点赞数
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gududeajun/article/details/128003667
版权

访问靶场下载文件

在Kali虚拟机输入extundelete

回车

自动安装,并且有环境变量吧

 虚拟机添加硬盘

 fdisk -l 

验证磁盘添加成功

 对磁盘进行分区,更改类型: 

输入n建立分区,输入p,默认回车,默认回车,输入t更改分区为83,输入w保存

fdisk /dev/sdb 

 mkfs.ext3 /dev/sdb1 

对新建的分区进行格式化类型为 ext3

创建/date目录用于sdb1挂载并查看

mkdir /date

mount /dev/sdb1 /date/
df -hT 

把解压出的bf.img文件拖到了我的Kali虚拟机/date文件夹下

 命令fdisk bf.img,输入p查看,输入w保存

再用命令:

mount -o loop,offset=1048576 bf.img /mnt/

 

cd /dev

extundelete loop0 --restore-all 

把key.txt里的字符复制出来

 输入靶场进行验证,弹出的内容就是key

 

 

 

gududeajun
关注
墨者学院—Windows硬盘文件分析取证:连接过的FTP地址(简单复习)
LRedAnt的博客
12-31 653
墨者学院—Windows硬盘文件分析取证:连接过的FTP地址(简单复习) 背景描述: XP系统连接过的FTP记录都会以文件的形式保存在本地电脑,默认在C盘下,对于不同的Windows系统,存放的位置可能有差异,但是XP系统会保存在当前用户文件下的历史记录问文件文件格式是“.dat”的文档格式,如果用记事本等打开,内容会出现一定的乱码。 挂载工具:AccessData FTK Imager 靶场实...
在线靶场-墨者-电子数据取证1星-Linux硬盘文件分析取证(MySQL操作记录)
weixin_42079912的博客
07-19 357
打开靶场网页,下载文件,下载文件后是压缩文件,解压后发现是img镜像文件。img文件需要挂载才能读取。于是下载AccessData FTK Imager软件。下载地址:https://download.csdn.net/download/sunwen551/10839742 下载完软件后,点开软件,按照下图步骤: 找到root文件里的.mysql_history文件,在文件中查看数据库更改的...
墨者学院_Linux硬盘文件分析取证(恢复文件)
ierciyuan的博客
09-05 1119
墨者学院_Linux硬盘文件分析取证(恢复文件)
[墨者学院] Linux硬盘文件分析取证(MySQL连接密码)
0of_blog
05-30 253
下载后是个7z压缩包,解压后是个img镜像 还是用AccessData FTK打开 File -> Add Evidence Item...,选择打开image file 选择文件,点击Finish 看到这么多目录文件,这次我们要找的是bash的执行历史记录,一般在用户家目录下。~/.ash_history 打开这个文件 看到关键的一行 mysql -uroot -p79651eb2ebecae051 这条命令就是用登录用户名为root的用户,-p后面的就是密码...
Linux硬盘文件分析取证(新增用户)
asd158923328的博客
08-21 414
靶场地址: https://www.mozhe.cn/bug/detail/N1hXc2psT3YzaXRTdTZXQmVTTlJpQT09bW96aGUmozhe 根据题意 进入环境,下载文件,用AccessData FTK Imager打开,定位var/log/messages 验证IP得到key ...
墨者 - Linux硬盘文件分析取证(MySQL操作记录)
吃肉唐僧的博客
07-09 274
下载文件后,发现img文件 用ftk打开 当点到root目录时,发现了一个mysql_history历史操作文件 找到操作语句:update users.users set pw ='55fb7f853995f' where id=423; ...
[墨者学院] Linux硬盘文件分析取证(MySQL操作记录)
0of_blog
05-31 333
给出百度云地址,下载文件,是个7z压缩包 里面是个img镜像,解压出来 用AccessData FTK打开 File -> Add Evidence Item...,选择打开image file 选择文件,点击Finish 看到目录文件 根据题目,我们要找的是MySQL的操作记录,这个日志文件存在于 ~/.mysql_history下,这里存折mysql命令操作的记录。 题目是找到数据库被更改的记录。那就看到update语句 update users.users ..
墨者学院 windows硬盘文件分析取证(新建的用户名) 犯罪嫌疑人在使用过电脑之后并
最新发布
12-15
墨者学院的Windows硬盘文件分析取证是一种通过对电脑硬盘上的文件进行分析来获取相关信息的技术手段。当涉及到犯罪调查时,这项技术可以帮助警方揭示犯罪嫌疑人的行为轨迹和证据。 在对犯罪嫌疑人所使用的计算机...
墨者学院在线靶场WP
心想事成
12-22 858
我们知道 HTTP 连接基于 TCP 连接,HTTP 协议中没有 IP 的概念,Remote Address 来自 TCP 连接,表示与服务端建立 TCP 连接的设备 IP,在这个例子里就是 IP3。Remote Address 无法伪造,因为建立 TCP 连接需要三次握手,如果伪造了源 IP,无法建立 TCP 连接,更不会有后面的 HTTP 请求。可以看到,XFF 的内容由「英文逗号 + 空格」隔开的多个部分组成,最开始的是离服务端最远的设备 IP,然后是每一级代理设备的 IP。
墨者学院-phpMyAdmin后台文件包含分析溯源
qq_47094508的博客
07-01 1328
首先拿到题目到点击访问访问后使用弱口令进行登陆,如登陆失败开启隐私模式或者更换浏览器账户密码:root root点击sql模块 对sql语句进行一个查询首先查询sql写一句话的权限我们可以看到他的值为空secure-file-priv参数是用来限制LOAD DATA, SELECT ... OUTFILE, and LOAD_FILE()传到哪个指定目录的。 继续查看mysql安装的绝对路径,可以发现他是安装在/var/lib/mysql/ 接下来确认一下mysql权限,可以看到这里是最高权限r
Linux硬盘文件分析取证(SSH过的IP)
weixin_30652271的博客
04-13 97
在线靶场: https://www.mozhe.cn 背景介绍 某运维人员发现服务器最近被一个IP连接过SSH,请找到连接服务器SSH的IP。 实训目标 1、了解Linux备份方式; 2、了解AccessData FTK Imager使用方法; 3、掌握如何查看Linux日志; 解题方向 根...
linux 内存取证_Linux硬盘和内存镜像取证
weixin_33427476的博客
01-27 893
Linux硬盘和内存镜像取证在Windows系统上,有winhex等神器,可以方便的完成镜像取证等工作,如何将Linux系统硬盘和内存镜像数据给winhex等进行分析?除了通过dd等工具镜像为文件外,本文将介绍一个方法,将更方便的完成该工作。准备工作一台被镜像取证的电脑运行的Linux系统一台电脑运行的Windows系统两台电脑要能通过网络通信,并且最好是有线千M网络,因为Linux系统的硬盘数据...
[墨者学院] Linux硬盘文件分析取证(SSH过的IP)
0of_blog
05-30 476
给出百度云地址,下载附件 给出的是一个ssh1.img镜像 还是用AccessData FTK打开 File -> Add Evidence Item...,选择 Image File 选择我们的文件地址。Finish 我们要找的是ssh过的ip,那么首先要知道系统的日志是会记录在/var/log/messages的, 那么我们去看看这个文件 Nov 1 12:39:10 localhost auth.info sshd[3898]: Server listenin...
墨者 - Linux硬盘文件分析取证(SSH过的IP)
吃肉唐僧的博客
07-07 581
下载文件后,发现是img文件 img 1. img格式是镜像的一种。可以通过制作数据光盘或者使用虚拟光驱(如 WinMount,Deamon Tools 等)安装IMG数据文件。 2.img格式是制定css样式表的一种样式,对HTM中的图片属性进行修饰。 3.img格式是图片格式的一种,某些旧系统、游戏中照片是用IMG格式存储的,而且是多张照片在一起,Ventura Publisher...
在线靶场-墨者-电子数据取证1星-Linux硬盘文件分析取证(SSH过的IP)
weixin_42079912的博客
07-19 306
打开靶场网页,下载文件,下载文件后是压缩文件,解压后发现是img镜像文件。img文件需要挂载才能读取。于是下载AccessData FTK Imager软件。下载地址:https://download.csdn.net/download/sunwen551/10839742 下载完软件后,点开软件,按照下图步骤: 找到root目录下var/log/ 路径的messages文件,日志文件。 ...
DEFCON 20 CTF 磁盘取证分析题目
蚁景网安学院
04-08 2539
这是一道取证分析题目,主要考察取证分析能力,包括磁盘文件恢复、图片文件修复、数据分析、图片隐写信息提取等。 本次实验题目地址:《DEFCON 20 CTF Quals Forensic 200》。 题目提供了一个disk.img文件,我们首先可以尝试使用DiskGenius来查看其中的文件。打开DiskGenius_4.3.exe,依次选择“硬盘”、“打开虚拟硬盘文件”菜单项,如下图所示: 使用DiskGenius打开C:\CTF\DiskForensics\4\disk.img文件之后,可以看到在磁盘的
在线靶场-墨者-电子数据取证1星-安卓手机文件分析取证(微信保存的图片)
weixin_42079912的博客
07-18 227
打开靶场网页,下载手机文件并解压。 打开手机文件找寻微信存放地点,已知微信是腾讯的,先找Tencent,然后根据分析微信保存图片的存放路径是:手机取证\mnt\shell\emulated\0\Tencent\MicroMsg\WeiXin。根据这个路径我们可以看到有一个png格式的图片文件,也就是要找找寻的目标图片。 将此图片文件名输入靶场网页,即可得到key。 ...
取证靶机之HA: FORENSICS
shy的博客
12-29 3300
好久没有做靶机了,随着年纪的增长,工作的改变,对技术越来越不敏感,越来越不感兴趣了,最近看了一篇文件,正好是取证靶场,特来复现,学习一下。 下载地址: https://www.vulnhub.com/entry/ha-forensics,570/ 查找靶机IP地址: 由于我设置的NAT模式,用nmap扫描NAT网段就行。 扫描开放端口: 访问80端口: 点击上图获取flag按键,出现如下图片。 怀疑是隐写。下载相关工具,进行查看,发现。。。没用 apt-get i...
在线靶场-墨者-电子数据取证1星-电子数据取证-流量分析(第1题)
weixin_42079912的博客
07-19 416
打开靶场网页,下载文件,下载后的文件解压,使用wireshark打开。由于题目是说使用照片传输机密数据,所以照片传输是http协议,于是过滤http协议出来。在http协议中找到一个JPGE JFIF image这条线索。 点击这条数据,右键选择Follow进行追踪。然后就能得到flag{}里的值,把值输入靶场网站即可得到本题的key。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值