tryhackme-Linux取证相关知识

接触过linux取证的一些题目,学习tryhackme这里做了一些简单的思路总结

操作系统和账户信息

cat /etc/os-release
# cat /etc/*-release

cat /etc/passwd  # 用户信息
cat /etc/group   # 组信息
cat /etc/sudoers  # sudo权限列表

登录信息
/var/log目录中,可以找到很多的日志,其中wtmpbtmp保存相关的登录信息

  • btmp保存登录失败相关信息
  • wtmp保存登录历史数据

这些文件不能使用cat more less这些工具来查看,需要使用特定的命令last来查看

last -f /var/log/wtmp
last -f /var/log/btmp

认证日志
每个在Linux主机上进行身份验证的用户都会记录在身份验证日志中。身份验证日志是放置在的文件/var/log/auth.log,可以使用实用程序读取它cat,但是,考虑到文件的大小,我们可以使用tailhead或实用程序来使其更易于阅读

cat /var/log/auth.log | tail

# 可以使用 grep 筛选 COMMAND 的行
cat /var/log/auth.log | grep -i "COMMAND"

系统设置

主机名

cat /etc/hostname

时区

cat /etc/timezone

网络配置

cat /etc/network/interface

或者使用ip address show可以缩写为ip a查看IP相关配置

ip address show 

网络活动连接

netstat -anpt
netstat -anptu
netstat -tunple

ss -tunpl

正在运行的进程

ps aux
ps ef

DNS信息

cat /etc/hosts

cat /etc/resolv.conf

持久化机制

就是我们平时Linux启动需要的环境配置文件

计划任务
例如crontab计划任务,位于/etc/crontab

cat /etc/crontab

服务启动
开启自动启动的服务位于/etc/init.d目录总

ls /etc/init.d/

.bashrc
当 bash shell 生成时,它会运行.bashrc文件中存储的命令。该文件可以被视为要执行的操作的启动列表

系统范围的配置文件存储在/etc/bash.bashrc/etc/profile

执行凭据

sudo历史命令

cat /var/log/auth.log* |grep -i COMMAND|tail

bash history

cat ~/.bash_history 

.viminfo
文本Vim编辑器将打开的文件的日志存储在主目录中Vim指定的文件中。.viminfo该文件包含打开文件的命令行历史记录、搜索字符串历史记录等。我们可以使用该cat实用程序来打开.viminfo

cat ~/.viminfo

日志

linux中大部分的日志都在/var/log目录下
系统日志

cat /var/log/syslog

验证日志

cat /var/log/auth.log

第三方日志
例如apache2

cat /var/log/apache2/access.log
posted @ 2024-03-27 20:09  Junglezt  阅读(41)  评论(0编辑  收藏  举报