Ip
仿真起来ipconfig看
所以网探连接目标,需要ip和端口。
默认端口一般在22号
因为都是去连接sshd服务,而sshd服务默认都是在22号端口。
使用 netstat -anpt命令查看该目标的sshd服务端口是否更改。
如图所属,sshd服务在7001端口
使用vim /etc/nginx/nginx.conf命令查看nginx的文件并没有发现该服务器配置网站。
就是主配置网站中没有配网站,加了一个 include /etc/nginx/conf.d/*.com;
说明网站发到了该目录下,并且以.com结尾。
使用cd到该目录下
看conf.d文件下
发现该服务器连接了三个网址。
而题是由www.kkzjc.com引出来的
那就看该网站的配置文件
使用:vim www.kkzjc.com 查看该网站的配置文件
由图可知它监听的是32000的端口
用了proxy_pass 转发给本地的8091端口
(就是一个跳板纯转发的作用)
查看history命令(仿真,取证大师,火眼证据分析,网探)
看到有docker
在仿真中打开docker
使用命令systemctl start docker打开docker的服务
使用命令docker ps
看到转发到的8091端口
然后在使用netstat -nappt查看端口。
8091端口就可以看到了。
这个就是外面一级别的跳板
上面的30000,31000的nginx就转发到8091端口
根据上上图8081端口的地址(08f64376a2e3)就可以进入到容器里面了
使用命令:docker exec -it 08 /bin/bash
进到容器里面之后,同样history
看到里面还是有nginx
同样看一下它的nginx
使用命令:more /etc/nginx/nginx.conf
看到里面还有一个include了一个路径
到这个路径下看
发现一个hl.conf文件
打开
使用命令:more hl.conf
它监听的是80端口,然后proxy_pass转发到192.168.1.176:80上
远程登录的信息在last上面看
exit退出目录
用last
发现有人使用pta/0方式登录192.168.99.222 ip(可能是做服务站维护)
其他的都是正常物理机登录的