tryhackme-Linux取证相关知识
接触过linux取证
的一些题目,学习tryhackme
这里做了一些简单的思路总结
操作系统和账户信息
cat /etc/os-release
# cat /etc/*-release
cat /etc/passwd # 用户信息
cat /etc/group # 组信息
cat /etc/sudoers # sudo权限列表
登录信息
在/var/log
目录中,可以找到很多的日志,其中wtmp
和btmp
保存相关的登录信息
btmp
保存登录失败相关信息wtmp
保存登录历史数据
这些文件不能使用cat more less
这些工具来查看,需要使用特定的命令last
来查看
last -f /var/log/wtmp
last -f /var/log/btmp
认证日志
每个在Linux主机上进行身份验证的用户都会记录在身份验证日志中。身份验证日志是放置在的文件/var/log/auth.log
,可以使用实用程序读取它cat
,但是,考虑到文件的大小,我们可以使用tail
、head
或实用程序来使其更易于阅读
cat /var/log/auth.log | tail
# 可以使用 grep 筛选 COMMAND 的行
cat /var/log/auth.log | grep -i "COMMAND"
系统设置
主机名
cat /etc/hostname
时区
cat /etc/timezone
网络配置
cat /etc/network/interface
或者使用ip address show
可以缩写为ip a
查看IP相关配置
ip address show
网络活动连接
netstat -anpt
netstat -anptu
netstat -tunple
ss -tunpl
正在运行的进程
ps aux
ps ef
DNS信息
cat /etc/hosts
cat /etc/resolv.conf
持久化机制
就是我们平时Linux启动需要的环境配置文件
计划任务
例如crontab
计划任务,位于/etc/crontab
cat /etc/crontab
服务启动
开启自动启动的服务位于/etc/init.d
目录总
ls /etc/init.d/
.bashrc
当 bash shell 生成时,它会运行.bashrc
文件中存储的命令。该文件可以被视为要执行的操作的启动列表
系统范围的配置文件存储在/etc/bash.bashrc
和/etc/profile
执行凭据
sudo历史命令
cat /var/log/auth.log* |grep -i COMMAND|tail
bash history
cat ~/.bash_history
.viminfo
文本Vim编辑器将打开的文件的日志存储在主目录中Vim指定的文件中。.viminfo
该文件包含打开文件的命令行历史记录、搜索字符串历史记录等。我们可以使用该cat
实用程序来打开.viminfo
cat ~/.viminfo
日志
linux中大部分的日志都在/var/log
目录下
系统日志
cat /var/log/syslog
验证日志
cat /var/log/auth.log
第三方日志
例如apache2
cat /var/log/apache2/access.log