PanelForensics解题小技巧

镜像素材选自美亚春苗集训营实训，由XiAnG提供

写在前面

首先是为什么要做成SSH连接的形式，主要是有以下原因

1. 如果读取镜像，那么耗时非常久，且需要解决镜像读取、挂载、文件系统解析等问题，导致软件体积太大，不适于当前软件需求
2. 如果读取文件，那么需要将指定的文件从镜像中导出，这与软件的初衷相悖，如果你知道这些文件的位置和内容，你根本无需使用这个软件。读取文件的方式也无法实现自动检测服务器所部署的面板服务。
3. 最最最最最最最重要的一点，但凡做服务器取证，那你最好的选择只有仿真！

样例

现在来看看具体的使用，就以XiAnG写的WP为例

对检材1分析，面板绑定宝塔账号是什么？【答案格式：13736678787】

XiAnG选择了最直接的火眼解析

我们可以在面板配置一栏中找到用户名19524203268，这是从userInfo.json文件中提取的绑定信息，具体可以看宝塔的源码

对检材1分析，宝塔面板删除网站文件夹原路径在哪里？【答案格式：/www/abc/def.ghi】

XiAnG选择了最直接的火眼解析

我们可以在操作日志一栏中找到相关数据，这个数据提取自宝塔的数据库，实际上宝塔还有一个请求日志，里面记录的是调用接口的情况，也可以反映出用户执行了哪些操作

对检材1分析，数据库容器映射到外部使用的端口是什么？【答案格式：123456】

对检材1分析，数据库容器登录密码是什么？【答案格式：abc@#123456】

这两题连起来看，XiAnG的做法是仿真后，查看Docker容器运行状态，主机网络状态并通过网站配置文件获取密码

不过我们通过在宝塔中配置的计划任务就可以看到，做了对Docker容器中数据库的定时备份，指定了端口及密码

对检材1分析，涉案网站绑定的监听端口是什么？【答案格式：123456】

XiAnG登入了宝塔面板，在面板当中查看

查看宝塔面板默认信息

访问内网面板地址

取消IP和域名绑定限制

这样就可以访问到宝塔面板登录界面了

使用初始的账号密码登录成功

在网站管理中可以看到网站绑定的端口为9014

可以看到这个宝塔进行了IP限制，但我们可以在手动解除这个限制前，就提取到信息，从而根据提取出的网站信息直接配置host，登录到涉案网站，不用再登录宝塔面板

写在后面

使用火眼之类的软件无疑是最方便的，但是由于服务器的特殊性，在实际应用中，其实不会用分析软件对服务器的镜像进行分析，没有什么很大的作用。

我觉得PanelForensics的实用性还是比较好的，不过对于较低版本的宝塔面板，还是不考虑去适配了，时代在前进。

也希望在以后的题目中，可以看到Linux小皮面板和1Panel的身影。