一种文件取证思路骚操作分享
2023-5-11 22:1:37 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

微信公众号:渊龙Sec安全团队
为国之安全而奋斗,为信息安全而发声!
如有问题或建议,请在公众号后台留言
如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们

0# 前言

主要是自己在做GA项目时候,碰到的一个坎坷的取证思路,放出来给各位师傅分享一下
项目要通过目标服务器上的数据,拿到并锁定嫌疑人的真实身份
由于项目保密性,有些截图不方便展示,师傅们见谅~

1# 情况分析

情况是这样,打的是菠菜网站,通过畸形 WebShell 拿到服务器权限,然后发现目标服务器上打开了以下内容:百度云盘、搜狗浏览器、服务器安全狗

我在突破服务器安全狗的时候,发现能添加账户,但不能提权,有点无语

试了 mimikatz 拿不到明文密码,密钥用CMD5解不开

于是打算从百度网盘目录入手,但 user 目录下没有资料,读取了相关的数据库也没啥用(以下是我本地测试的效果):

PS:这几个db文件可以用 Navicat 工具直接读取文件上传下载记录和对应文件的 Hash 值,这个主要看运气了(有可能目录名就是真实手机号)

于是转战搜狗浏览器,但也找不到有价值的东西,上了3个脚本都没用

2# 取证思路

  • 难道 我就要跟这个犯罪分子失之交臂了吗?

  • 我可以被他在技术上侮辱吗

  • 作为一个正直的人,我要说NO!!!

目标服务器是用 UPUPW ANK 来搭建Web服务,对应的文件 guc.dll 在本地目录存着,但目标服务器并没有登录账号,所以无法通过分析本地文件拿到嫌疑人真实信息:

于是我把目标放到安全狗的身上,我们都知道使用服务器安全狗是必须要登录用户,不然没办法使用,于是我们尝试通过安全狗的本地文件获得嫌疑人真实信息:

于是先在自己的电脑上安装了 ProcessMonitor 工具,来监听分析安全狗进程的操作,来尝试获得登录者的真实信息:

在本地环境登录安全狗,再通过 ProcessMonitor 工具直接搜索自己的账户,发现登录安全狗时,相关账号(真实手机号)会被写入到注册表里面了,哈哈哈被我逮到了吧~

下面就是最重要的,去目标服务器上查询注册表相关信息,查询语句如下:

1reg query "HKLM\SOFTWARE\WOW6432Node\Safedog\SafedogUpdateCenter" /v Cloud_User

很顺利拿到嫌疑人真实手机号,开心的给警察叔叔发报告咯~哈哈

3# 思路总结

有些师傅可能没看懂,我这边解释一下:

  • 有些软件都是需要登录才能使用,在登录后会在本地文件或者在注册表写入登录的相关信息(比如登录的账号),我们可以分析本地对应的文件或者注册表内容拿到登录信息

  • 本文只是以安全狗为例子,通过工具分析并发现安全狗会将登录账号写入注册表,从而在注册表成功拿到嫌疑人真实手机号

  • 我发现该取证思路全网并没有相关文章,于是记录分享一下,其实其他很多软件也可以用这种思路拿到真实使用者信息的,你懂的

我是Cainsoftware,我在渊龙Sec安全团队等你
微信公众号:渊龙Sec安全团队
欢迎关注我,一起学习,一起进步~
本篇文章为团队成员原创文章,请不要擅自盗取!


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg4NTY0MDg1Mg==&mid=2247485056&idx=1&sn=eee7c90abc8175f6eda2b945ea20a9ed&chksm=cfa49d7bf8d3146df5185de8f48f85676a2f192c3fe105b052c0c870af3856862f5cc04bdc28&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh