取证
文章平均质量分 58
电子取证相关的小知识点
shu天
(最近去准备考试了,没办法回复私信和评论还请见谅)咸鱼才是一切的尽头
展开
-
[2021绿城杯] [Misc] 流量分析 + cobaltstrike 流量解密
2021年“绿城杯”网络安全大赛-Misc-流量分析1.webshell分析2.解密 cobaltstrike 流量(1)分析`.cobaltstrike.beacon_keys`得到私钥(2)通过私钥解密元数据、获取 `AES KEY`(3)解密cs流量框架是Laravel,利用CVE-2021-3129命令执行写马。分析发现webshell是/.config.phptcp.stream eq 2509原创 2022-03-17 22:52:16 · 4628 阅读 · 5 评论 -
[Hack The Box] HTB—Challenges—forensics—Illumination writeup
[Hack The Box] HTB—Challenges—forensics—Illumination writeupDESCRIPTION:A Junior Developer just switched to a new source control platform. Can you find the secret token?附件:.git泄露恢复的工具:gakki429/Git_Extract: 提取远程 git 泄露或本地 git 的工具 (github.com)python2原创 2022-02-27 08:15:00 · 223 阅读 · 0 评论 -
[Hack The Box] HTB—Challenges—forensics—USB Ripper writeup
[Hack The Box] HTB—Challenges—forensics—USB Ripper writeupauth.json的这种格式和一个Linux中的Usbrip工具一样,该工具记录USB设备事件历史。[在Linux中使用Usbrip显示USB设备事件历史记录**auth.json**存储授权或受信任的USB设备列表,该文件可用于调查连接了哪些USB设备以及它们是否为授权设备。 这样,可以找出是否某些用户未经许可从系统复制了某些内容。原创 2022-02-24 09:38:37 · 829 阅读 · 0 评论 -
2020年第六届 美亚杯电子取证 团体赛 wp
2020年第六届 美亚杯电子取证 团体赛 wp一、案情简介二、检材三、题目ZelloXenoBob 张伟华Bob的桌上计算机Bob iphoneSamsung S2Bob iMACCole 冯启礼Cole桌上计算机Cole笔记本计算机Cole笔记本的随机存取记忆体Cole的PICole NASCole手机Daniel 罗俊杰Daniel的桌上计算机Daniel的MacBookDaniel的iPhone一、案情简介你的电子数据取证调查结果发现一个国际黑客组织牵涉这宗案件。经深入调查后,调查队伍相信该黑客组原创 2022-01-26 14:00:00 · 6469 阅读 · 1 评论 -
2020第六届美亚杯中国电子数据取证大赛个人资格赛
2020第六届美亚杯中国电子数据取证大赛个人资格赛这一套还不错,个人赛的检材也各个有联系,检材照片和笔录让人身临其境。第一次用富文本编辑器,感觉好酷目录笔记本计算机手机USB笔记本计算机1.Alice的笔记本计算机已成功被取证并制作成镜像(ForensicImage),下列哪个是镜像的SHA-1哈希值?原创 2022-01-22 09:30:00 · 2167 阅读 · 0 评论 -
Oracle数据库基础(安装、基础命令)以Oracle 11g为例
Oracle数据库基础(安装、基础命令)一、安装字符集连接使用工具 PL/SQL Developer关闭Oracle服务二、Oracle基础概念1.database1) 数据库名2) 实例名 & ORACLE_SID2.schema+user关于用户及其权限3.tablespaces(表空间) 和 table三、文件的路径1.orapw密码文件2.参数文件3.数据文件三、命令1.连接/登陆2.基础信息用户3.建数据库,表空间和表4.备份与恢复恢复备份原创 2022-01-15 14:37:12 · 860 阅读 · 0 评论 -
2019年第五届 美亚杯电子取证 团体赛 wp
2019年第五届 美亚杯电子取证 团体赛 wp案情路由器Win1.E01Win3.E01L:\Group_Competition\Hacker_Linux\Linux1MacBookAir.00001手机镜像 blk0_mmcblk0.binbackup.abGroup_Competition\Hacker_RAIDGroup_Competition\Hacker_PCAP原创 2022-01-13 09:00:00 · 1492 阅读 · 0 评论 -
Linux系统日志审计
Linux系统日志审计日志子系统1.连接时间日志auth.log / secure SSH登录日志2.进程统计3.错误日志其他日志安装日志日志子系统在Linux系统中,有三个主要的日志子系统:1.连接时间日志登陆系统的时间和IP记录文件:/var/log/wtmp和/var/run/utmp,loginauth.log / secure SSH登录日志auth.log:会记录ssh登陆的IP和端口cat auth.log |grep AcceptedSSH登录日志 : secure(原创 2022-01-11 09:00:00 · 1673 阅读 · 0 评论 -
远程连接工具Putty 相关
putty是用来远程连接服务器的,支持`SSH、Telnet、Serial`等协议的连接。其中最常用的是SSH。官网:https://www.chiark.greenend.org.uk/~sgtatham/putty/Putty主机密钥(缓存)第一次连接时选择信任主机,就会留下主机密钥Putty SSH 主机密钥保存在注册表中:HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\SshHostKeys格式为:`<算法>@<端口号>:<主机>`原创 2022-01-09 22:26:34 · 711 阅读 · 0 评论 -
[ctfshow 2021摆烂杯] FORENSICS部分 writeup
[ctfshow 2021摆烂杯] FORENSICS部分 writeup套的签到题第一段flag第二段flag第三段flagJiaJia-CP-1JiaJia-CP-2JiaJia-CP-3JiaJia-PC-1JiaJia-PC-2JiaJia-PC-3原创 2022-01-03 09:45:00 · 2976 阅读 · 2 评论 -
制作Linux内存镜像+制作对应的volatility profile
制作Linux内存镜像+制作对应的volatility profile文章目录制作Linux内存镜像+制作对应的volatility profile制作Linux内存镜像lmg安装制作volatility profile1.创建vtypes2.获取符号表3.制作用户配置文件使用profilevolatility取证Linux命令制作Linux内存镜像工具有很多,我这里用lmg理论上lmg可以把linux内存文件(memory.lime),volatility profile一次性全整出来,但是我不知原创 2021-12-13 10:41:12 · 5071 阅读 · 0 评论 -
2019年美亚杯资格赛 个人赛 writeup
2019年美亚杯资格赛文章目录2019年美亚杯资格赛win2内存镜像win2内存镜像原创 2021-12-05 01:00:00 · 1757 阅读 · 1 评论 -
2018年第四届 美亚杯电子取证 团体赛 wp
第四届 美亚杯电子取证 团体赛文章目录第四届 美亚杯电子取证 团体赛c2serverIT_NotebookStreaing ServerRongkeDatabaseD1victor_PC_memdump.dmpDumpData.bin一个总结IP应该默认IP 1的就是路由器吧(7)192.168.7.11 RKD-OFFICE 公司内网计算机192.168.7.12 摄像机(192.168.7.102 BLACK-I 黑客通过该内网IP入侵192.168.7.103 流媒体22原创 2021-12-03 23:40:15 · 2287 阅读 · 1 评论 -
2018年美亚杯资格赛 个人赛 writeup
2018年美亚杯资格赛 个人赛 writeup原创 2021-11-26 02:15:00 · 784 阅读 · 0 评论 -
2019中科实数杯( Q1内存镜像取证分析、Q4加密磁盘分析)
题目Q1 内存取证Q4 加密容器原创 2021-11-23 00:25:59 · 1140 阅读 · 2 评论 -
2019 “虎鲸杯”全国大学生电子数据取证比赛 writeup
有很多答案不确定,仅作参考raidapk话单分析属实不太明白题目在问什么,有兴趣的小伙伴可以研究火眼金睛软件M2 安卓手机U1 U盘这个u盘引导分区损坏,可以使用diskgenius修复P3 笔记本镜像...原创 2021-11-22 03:00:00 · 1096 阅读 · 1 评论 -
2017年第三届 美亚杯电子取证 团体赛 wp
17美亚杯团体 wp原创 2021-11-20 19:34:58 · 1144 阅读 · 1 评论 -
2017年美亚杯资格赛 个人赛 writeup
1111原创 2021-11-19 15:02:27 · 506 阅读 · 0 评论 -
2021年长安杯 第三届电子数据取证竞赛 wp
2021年长安杯 第三届电子数据取证竞赛 wp检材1–APK检材2检材3检材4原创 2021-11-16 23:10:29 · 3268 阅读 · 3 评论 -
2019年长安杯 第一届电子数据取证竞赛 wp
检材2检材四原创 2021-11-14 16:26:34 · 2383 阅读 · 6 评论 -
2020年第三届中科实数杯 Android模拟器分析部分 wp
打完美亚杯了,把之前练习的wp都放出来,答案不一定准确,只是个人思路Android模拟器分析当事人在电脑上安装了Android模拟器,下面内容均为模拟器中Android系统及应用的信息,请分析如下事项:...原创 2021-11-14 09:43:54 · 1942 阅读 · 1 评论 -
Volatility3安装
Volatility3安装工具地址:https://github.com/volatilityfoundation/volatility3安装git clone https://github.com/volatilityfoundation/volatility3.gitpython3 vol.py -h系统缺少pycrypto,distorm这两个辅助包而无法加载相应插件安装辅助包下载pycrypto:https://pypi.org/project/pycrypto/#files下原创 2021-10-19 01:13:05 · 3467 阅读 · 0 评论 -
SSH流量分析工具Network-Parser安装
工具地址:https://github.com/fox-it/OpenSSH-Network-Parser1. git下载项目#apt install gitgit clone https://github.com/fox-it/OpenSSH-Network-Parser.gitcd OpenSSH-Network-Parsersudo python setup.py buildsudo python setup.py install这里会报错error: Could not f.原创 2021-09-02 22:37:49 · 996 阅读 · 4 评论 -
查找主机信息的两个协议:DHCP协议+NBNS协议
DHCP68端口客户端67端口服务端Dynamic Host Configuration Protocol (Inform)下查看主机名NBNSNetBIOS的软件服务,将NetBIOS名称映射到IP地址上Service NamePortProtocolShort NameNetBIOS Name service137UDP/TCPNBNS路由器可以通过发送NBNS状态请求以获取设备名,windows PC 接收到后通过WINS或将本地缓存发送命名信息给路由原创 2021-08-30 23:53:58 · 1535 阅读 · 2 评论 -
冰蝎3 冰蝎2 behinder流量分析 流量解密
好多没找全,明天再找吧冰蝎3AES密钥为连接密码32位md5值的前16位,默认连接密码rebeyond。webshell:php<?php@error_reporting(0);session_start(); $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond $_SESSION['k']=$key; $post=file_get_contents("php://input"); if(!exten原创 2021-08-30 22:54:41 · 3019 阅读 · 0 评论 -
nmcli配置虚拟机IP(dhcp,静态IP)
1.查看网卡设备、删除不需要的网卡连接nmcli con show //查看网卡设备、得到网卡的名字nmcli con delete 'ens33' //删除不需要的网卡连接2.配置网卡dhcpnmcli con add con-name [ens35/name] type Ethernet ifname ens33 #添加一个名为ens35的网卡 IP自动通过dhcp获取modify:nmcli con modify [name] ifname ens33 固定IP原创 2021-08-28 23:40:24 · 4559 阅读 · 0 评论 -
Linux proc目录和/proc/self/目录
proc目录/proc/$pid/获取指定进程的信息(内存映射、CPU绑定信息)> cat /proc/self/cmdline | base64Y2F0AC9wcm9jL3NlbGYvY21kbGluZQA= //可以编码然后转码看,直接cat因为不可见字符会有点难看ps. cmdline进程的命令行参数,包括进程的启动路径/proc/self/目录但是进程的pid,在fork、daemon等情况下还可能发生变化。/proc/self/目录比较独特,不同的进程访问该目录时获得的信原创 2021-08-28 23:31:55 · 942 阅读 · 0 评论 -
常见网站挂马方式 网站挂马可利用漏洞 网站加密挂马
网站挂马常见挂马方式框架(iframe)挂马<iframe src=http://www.trojan.com/ width=0 height=0></iframe> //宽度和高度都为0js文件挂马<script src=http://www.trojan.com/1.js></script> //1.js文件中可能有恶意代码js变形加密<script language="JScript.Encode">原创 2021-08-24 00:28:02 · 904 阅读 · 0 评论 -
Windows便笺(win10,win7便笺存储位置,恢复便笺数据)
Windows便笺(Sticky Note)Win10存储位置%LocalAppData%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalStateC:\Users\用户名\AppData\Local\Plum.sqlite文件就是我们要找的,用SQLite软件是可以操作SQLite数据库。Win7存储位置:%appdata%\Microsoft\Sticky Notes C:\Users\你的用户名\AppD原创 2021-08-21 21:39:30 · 4796 阅读 · 0 评论 -
HTTP header整理 HTTP 请求头(Accept-Encoding,User-agent,Referer)
HTTP headerAccept-EncodingAccept-Encoding 会将客户端能够理解的内容编码方式——通常是某种压缩算法——进行通知(给服务端)。语法gzip表示采用 Lempel-Ziv coding (LZ77) 压缩算法,以及32位CRC校验的编码方式。compress采用 Lempel-Ziv-Welch (LZW) 压缩算法。deflate采用 zlib 结构和 deflate 压缩算法。br表示采用 Brotli 算法的编码方式。identit原创 2021-08-20 22:42:57 · 2398 阅读 · 0 评论 -
Android File System安卓文件系统(安卓存储分区,/data /storage /sdcard)
Android File System安卓手机,平板电脑(android tablet)以及其他设备大多有 6 种分区partitions:/boot,/system,/recovery,/data,/cache,/misc此外,SD Card Fie System Partitions还有/sdcard和/sd-ext安卓存储分区内部存储/data/data/your.package/应用私有目录,只有自己能够访问,会随着应用卸载被删除公共外部存储/storage/emulat原创 2021-08-20 10:54:01 · 5094 阅读 · 0 评论 -
Windows Powershell相关(历史命令、命令)
Powershell取证历史命令:win10 powershell的命令历史记录存储在%USERPROFILE%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt可以使用命令查看(我只能看到打开Powershell时运行的前面几条命令)get-history命令管理打印机组件:“PrintManagement”,它包含了所有用来管理本地和远程机器打印机的命令。安装打印机驱动原创 2021-08-17 17:15:46 · 2128 阅读 · 0 评论 -
Tomcat(目录结构、配置文件,启动命令)
Tomcatlink目录的简单介绍bin:启动和关闭tomcat的文件conf:配置文件server.xml该文件用于配置server相关的信息,比如tomcat启动的端口号,配置主机(Host)web.xml文件配置与web应用(web应用相当于一个web站点)tomcat-user.xml配置用户名密码和相关权限.lib:该目录放置运行tomcat运行需要的支撑jar包logs:存放日志,当我们需要查看日志的时候,可以查询信息temp:临时文件webapps:放置我们原创 2021-08-15 12:22:44 · 801 阅读 · 0 评论 -
密码爆破 hashcat+rar2john破解rar5压缩包密码
压缩包密码爆破rar5的无法用archpr爆破,所以用以下方法hashcat+rar2john破解rar2johnrar2john可以将 RAR 中的密码哈希提取出来rar2john.exe [file]得到[8.10.rar/name]:$[rar5/type]$16$0a36405b46c7981e26109ec6086ea4f0$15$f4010ab1f70c0f178a8e31d5b4c7db72$8$635d4f292520ff79hashcathashcat.exe -m原创 2021-08-11 09:31:23 · 15477 阅读 · 4 评论 -
Mysql(查看日志位置,配置文件,mysql远程连接,mysql命令)
Mysql日志错误日志: -log-err查询日志: -log慢查询日志: -log-slow-queries更新日志: -log-update二进制日志: -log-bin日志位置:命令行mysql>show variables like 'log_%';mysql>show master status; //查看当前的日志,高权用户才能用配置文件/etc/my.cnf看0x0 如何查看是否安装mysqlmysql 的守护进程是mysqld ,可以用以下命令查原创 2021-08-09 18:02:30 · 632 阅读 · 1 评论 -
Windows BMChache取证
BMChache取证link0x1 简介BMChache全称RDP Bitmap Chache,即RDP(远程桌面协议)位图缓存。是Windows为了加速RDP连接时的显示,减少数据量的传输,改善RDP连接体验的一种缓存机制。BMChache分为两种类型,一种是Bitmap Chaces(位图缓存),一种是Persisten Bitmap Chaches(持久位图缓存)。Persistent Bitmap Chaches是从Windows 2000的RDP 5.0版本开始引入的技术。0x2 存储原创 2021-08-09 15:14:07 · 301 阅读 · 0 评论 -
Firefox 本地保存密码破解 (破解key3.db, signons.sqlite , key4.db, logins.json)
Firefox密码破解登录密码信息存放位置用户的Firefox各种配置文件存储在自己的Appdata\Roaming(%appdata%)目录下:C:\Users\admin\AppData\Roaming\Firefox\Profiles\<random text>.default\不同版本的Firefox浏览器,存放登录信息文件和存放密钥文件也不同,其中用到的加密方式也有少许不同:Firefox 版本 <32 (key3.db, signons.sqlite)Firef原创 2021-08-05 11:18:18 · 2922 阅读 · 0 评论 -
NTFS ADS(备用数据流)文件、文件夹的ADS查看与创建
NTFS ADS(备用数据流)简介Alternate Data Stream(ADS) 在NTFS中,主数据流指的是文件或目录的标准内容,通常对用户可见,而**备用数据流(ADS)**则隐藏。如果要查看备用数据流,可以使用dir命令的/R选项,或是Windows提供的streams.exe工具,没有可用的API。ADS没有大小限制且多个数据流可以和一个正常文件关联。ADS的内容也不仅限于text文本数据,基本上只要是二进制格式文件都可以被作为ADS备用流嵌入。使用所有的文件在NTFS中至少原创 2021-08-03 10:00:36 · 2187 阅读 · 0 评论 -
ETCD集群(配置文件,集群命令,etcd集群备份恢复)
ETCD要时间同步etcd启动失败的错误,大多数情况下都是与data-dir 有关系,data-dir 中记录的信息与 etcd启动的选项所标识的信息不太匹配造成的如果配置文件里面的data目录下有缓存,可能导致etcd服务无法开启,不能直接修改config中的ip之类集群初重置1 利用 systemctl stop etcd 关闭集群, 在重新启动集群, 之前 etcd 保存的资料不会丢失2 要对 etcd 集群进行重置, 最简单的方式是关闭集群后, 3 删除了所有 etcd member原创 2021-08-02 10:54:17 · 1654 阅读 · 0 评论 -
nginx 负载均衡的三种分发方式
link负载均衡的分发方式轮询机制最少连接机制ip-hash 机制轮询机制-按照权重轮询最简单的负载均衡配置如下:http { upstream myapp1 { server srv1.example.com; server srv2.example.com; server srv3.example.com; } server { listen 80; location原创 2021-08-01 18:53:13 · 1753 阅读 · 0 评论