苏州做网站多少钱,成都seo工程师,怎么投诉没有备案就已经运营网站,免费企业建站系统排名【网络取证篇】取证实战之PHP服务器镜像网站重构及绕密分析
在裸聊敲诈、虚假理财诈骗案件类型中#xff0c;犯罪分子为了能实现更低成本、更快部署应用的目的#xff0c;其服务器架构多为常见的初始化网站架构#xff0c;也称为站库同体服务器#xff01;也就是说网站应用…【网络取证篇】取证实战之PHP服务器镜像网站重构及绕密分析
在裸聊敲诈、虚假理财诈骗案件类型中犯罪分子为了能实现更低成本、更快部署应用的目的其服务器架构多为常见的初始化网站架构也称为站库同体服务器也就是说网站应用程序数据库及用户账号信息、交易记录文件如相关的Apk、视频图片等资源都部署在同一台服务器中因此我们在现场勘验或者获取调证后的涉案网站和数据库都同一个服务器镜像内。
在取证分析时我们通常对服务器镜像进行仿真后查看历史命令等启动相应服务进入宝塔面板或修改本地hosts文件等实现网站还原使用改密或者修改后台登录逻辑等进入后台用Navical或PHPMyadmin等登录涉案数据库查看相关数据。
然而由于各个案件情况不一致嫌疑人对网站修改配置各式各样、web中间件或数据库环境受到损坏、一些调证回来的镜像文件本地仿真环境限制等因素导致网站还原失败从而迟滞了我们案件的进程。
本文通过对某虚假理财类案的调证服务器镜像进行仿真初始网站还原失败通过一步步的查找分析配置环境最后成功重构PHP网站—【凌风、蘇小沐】
1、进入宝塔面板
宝塔面板6.0之后命令bt集成了很多我们需要的命令方便我们对宝塔面板相关信息进行修改。
宝塔面板命令行序号注释1重启面板服务2停止面板服务3启动面板服务4重载面板服务5修改面板密码6修改面板用户名7强制修改MySQL密码8改面板端口9清除面板缓存10清除登录限制11取消入口限制12取消域名绑定限制13取消IP访问限制14查看面板默认信息15清理系统垃圾16修复面板(检查错误并更新面板文件到最新版)17设置日志切割是否压缩18设置是否自动备份面板22显示面板错误日志23关闭BasicAuth认证24关闭谷歌认证25设置是否保存文件历史副本
此次涉案服务器中宝塔面板版本低于6.0。输入bt命令后并没有显示相关宝塔的信息。
我们使用老版本宝塔面板登录命令bt default 得到进入宝塔面板的网址、用户名和初始密码验证后发现密码错误。
2、使用修改面板密码命令修改密码
使用修改面板密码命令修改密码例如改成123456 : cd /www/server/panel python tools.py panel 123456 成功登录宝塔面板。
一找回网站源码
1、查找网站源码默认存储位置
登录宝塔面板后我们发现为空而且宝塔面板操作日志中仅仅有一条清空日志回收站中也没有源码。
2、查找宝塔的主数据库配置信息
【宝塔的主数据库路径/www/server/panel/data/default.db】
宝塔的主数据库网站信息面板配置什么的都在这里面随即查看下宝塔面板路径/www/server/panel/data/default.db中的数据库文件使用navicat打开发现宝塔面板操作日志发现有将源码压缩并转移到backup文件夹下的操作记录日志。
然后查找backup路径在此果然发现了网站源码备份遂将其还原至默认路径下。
二还原网站前台
在启动中间件和MySQL数据库后网站依旧进不去报错提示无法连接到 MySQL 数据库。
由于前面有更改过许多默认路径及配置这里猜测比较可能的原因是网站数据库配置文件未配置好。在启动中间件和MySQL数据库后网站依旧进不去报错提示无法连接到 MySQL 数据库。
由于前面有更改过许多默认路径及配置这里猜测比较可能的原因是网站数据库配置文件未配置好。 1、定位网站数据库配置文件
在网站源码中发现PHP读取配置文件为db_settings.PHP。
当然这里也可以用一种通用的方法快速定位网站数据库配置文件因为网站数据库中不可避免的会存储数据库的数据库名、用户名、密码等将网站源码下载到电脑本地后可以使用FileLocatorPro等文本内容搜索工具搜索包含数据库名database或用户名user、密码password等关键词快速定位到网站数据库配置文件。
2、配置IP
在宝塔面板中修改数据库密码为123456根据宝塔面板中的数据库名、用户名、密码等配置网站数据库配置文件保证两者相同。修改网站数据库配置文件中host改为仿真起来ifconfig得到的IP。
这时网站数据库配置文件已经配好了但是登录网站依旧报错。
3、修改访问权限
剩下的就是访问权限的问题了在宝塔面板中发现数据库权限为指定IP访问尝试将数据库权限升级为所有人均能访问。
再次登录网站成功显示登陆页面还原涉案网站前台。 三获取前端管理员账户
1、数据库检索
此时继续查找有用信息在数据库中搜索发现用户列表里有管理员信息猜测其前台登录不仅仅有受害人也可能有前端管理员权限用户信息。
在网站源码中发现PHP不仅读取配置文件db_settings.PHP。还读取了functions.inc.PHP、main.inc.PHP两个文件。
2、修改登录代码逻辑
遍历之后发现functions.inc.PHP为控制前台用户登录的文件其中发现登录网站的密码加密盐值不是固定的
【盐值规律盐值是从0123456789abcdef中随机抽取10个所以我们不能通过随机注册用户后生成的密码密文来替换我们想要登录的某用户】
【破解方法虽然盐值随机但是我们可以通过修改代码逻辑进入其它用户将选中的等于改为不等于就可以用随便非正确的密码登录任意用户账号】
【破解方法虽然盐值随机但是我们可以通过修改代码逻辑进入其它用户将选中的等于改为不等于就可以用随便非正确的密码登录任意用户账号】
【破解方法虽然盐值随机但是我们可以通过修改代码逻辑进入其它用户将选中的等于改为不等于就可以用随便非正确的密码登录任意用户账号】 修改后使用前端管理员用户名登录显示如下。
3、登入后台管理员界面
在/www/wwwlogs/路径下找到网站登录日志找到后台登录网址。
在数据库中找到后台登录账号和密码密文。
此密码密文为32位推测是MD5加密在线解密得明文密码。
随即用管理员账号成功登陆后台。 四 【后台绕密拓展思考】
如果密码不是MD5加密或者说MD5解密不出来我们也可以修改源码逻辑进入首先用虚假的账号和密码登录后台查看报错内容。
然后在宝塔面板中网站源码页面点击文件查找输入报错内容点击包含子目录点击查找就能查找出包含此报错内容的文件。
随后点击编辑进入编辑文档界面。 将选中的不等于改成等于后台任意密码即可登录。
五【本案启示】
一是熟悉工具各种参数配置文件信息等。比如宝塔面板我们通常用命令bt就能查看修改宝塔相关信息但殊不知在宝塔6.0以下版本并没有集成到bt中需要用复杂的命令行进行解析。
二是在网站源码丢失时可以通过宝塔面板日志或在服务器中敲击history命令查看输入过的历史命令来了解嫌疑人历史相关操作从而有可能找回源码。
三是网站前台也有可能会有部分特权用户也就是前端管理员用户进入其管理页面后可以获取相关权限了解更多信息。其管理的小队成员列表更能帮助我们迅速理清人物架构。
四是网站后台的寻找和破密、绕密方式多种多样有些时候网站的密码加密盐值不是固定的密码随机生成并不能用普通的替换绕密等等。
以上这些只是个人的一些粗浅看法在网络高速发展的今天我们并不能期望对手比我们弱比我们什么都不懂这是不现实的我更期望的是大家积极探讨集思广益了解更多的知识融会贯通来更好的应用到相关案件服务中。
总结
书写片面纯粹做个记录有错漏之处欢迎指正。
公众号回复关键词【网络取证】自动获取资源合集。公众号已接入AI取证小助手可在公众号内发送问题自动获取简易解答。
【声明欢迎转发收藏个人创作不易喜欢记得点点赞转载引用请注明出处著作所有权归 [蘇小沐] 所有】
【注共享资源收集于官网或互联网公开材料仅供学习研究如有侵权请联系删除谢谢】
记录开始编辑2024年 11月 28日 最后编辑2024年 11月 30日
END往期精彩回顾 ▲ 【网络取证篇】宝塔面板server和panel的目录功能说明
[ ▲ 【镜像仿真篇】WindowsServer服务器镜像仿真
](https://mp.weixin.qq.com/s?__bizMzI2MTUwNjI4Mwmid2247486098idx1sn34c4f8668ef0a5a5ad2fb72e648bca2bscene21#wechat_redirect)
关注我了解更多取证知识别忘了点赞在看哦
本文转自 https://mp.weixin.qq.com/s/uVcd5tV3Yt-nasX7qn5cOQ如有侵权请联系删除。
