检材1
1.D.Centos Linux release 7.6.1810 (Core)
2.3.10.0
3.2099200
4.32000
5.3
6.192.168.99.222
7.192.168.99.222(解压成功即可)
8.进入docker容器中去看nginx的配置文件
思路:本机里nginx配置文件里没有信息那可能不是直接启的服务,ETC下看到有docker docker ps发现未启动docker服务
// 启动docker服务
systemctl start docker
// 进入容器
docker exec -it 容器id /bin/bash
// 查看历史记录
history
然后进到 cd etc/nginx/conf.d/hl.conf
9.docker logs 容器id | grep 192.168.99.222 | wc -l
18次
检材2
10.2D926D5E1CFE27553AE59B6152E038560D64E7837ECCAD30F2FBAD5052FABF37
11.18363.1082
12.2020-09-22 13:15:34
13.2020-09-18 17:54:
此处应该为安装包安装时间
14.6
15.从log中看出检材1的host为192.168.99.3 在检材2中搜索192.168.99.3 809116.docker-proxy 从图中命令看出服务器开的8091端口映射到80
17.www.sdhj.com
18.最近访问中发现有个苹果手机,再去搜索该文件夹
将iphone备份导出用手机大师取证
sstt119999
19.tg数据被删了,用火眼证据分析软件取
Telegram
20.dogecoin
21.收款地址
DPBEgbwap7VW5HbNdGi9TyKJbqTLWYYkvf
22.交易时间通过收款地址去dogecoin官网查,代理g了改天查
23.数量也是根据官网查询得到的
24.zzzxxx
利用pyvmx-cracker工具 windows太难安装了救命
kali虚拟机又出现dns解析问题烦人!!
python3 pyvmx-cracker.py -v 1.vmx -d wordlist.txt
25.CC7EA3AB90AB6B28417E08C715C243CE58EA76D71FD141B93F055A58E9BA561A
用火眼仿真解密进去后发现是个win7 登录需要密码 密码没给
改变思路去消除密码
方法一:先解开密码再利用火眼仿真软件消除密码(我没有成功提示虚拟机创建失败后面再试试 )好像是要移除密码再仿真!!!
找到了找到了移除密码!!!
方法二:利用火眼证据分析软件取,不知道为什么我又没取出来
方法三:利用美亚取证大师取emmm取出来了,那为什么火眼证据分析没成功!!
可是取证大师没有分析出来邮件
取出来了!!!就是没有移除加密的原因!
26.2020-09-20 12:53:00
27.honglian7001 弘连好喜欢用这个密码不会就猜它准没错
28.Xshell
29. qwer1234!@#$
30.
FF593FCCB3770B8845A3334631F8E80807638EE722C5AA7B34E877589857C3BA
31.c
32.card
33. C:\inetpub\wwwroot\v7w
34.80
35.glogin dlogin
36.OvO
37.关键代码为
<%@ page language="C#" autoeventwireup="true" inherits="dr_login_dllogin, App_Web_dllogin.aspx.7d7c2f33" %>
没怎么接触过IIS
这条语句的大概意思为C#
生成了App_Web_dllogin.aspx.7d7c2f33.dll
可以进bin目录核实一下
38.
42.E5E548CCAECD02608A0E053A5C7DCDBFBDD4BE5B0E743EB9DC8E318C369BEBC8
cd /etc/sysconfig/network-scripts/
vim ifcfg-ens33
很神奇刚开始能ping通百度但是当我下net-tools时又不行了
后继续修改 vi /etc/resolv.conf 昨天kali虚拟机也是修改这个文件 192.168.1.1是为什么呢
ping百度成功后
yum install net-tools
???安装好后navicat就能连上数据库了
按理说netstat命令只是查询相关网络信息并显示
之前的22和1433端口应该都已开放
ummm…难道是刚刚网络不通的原因?
接下来的内容是反编译加上传覆盖…明日再议!