简要信息
路径信息
Linux
- 时区信息
/etc/timezone - powershell-empire
- 日志(Linux
/var/lib/powershell-empire/empire/client/downloads/logs/empire_client.log - 下载(Linux
/var/lib/powershell-empire/server/downloads/
- 日志(Linux
- Metasploit Frameworks服务端和客户端的交互日志文件在(服务端一方)
/home/peggyli/.msf4/logs(Linux - 用户目录下的
.bash_history文件记录着用户曾经执行过的bash命令
可能会有各种密码的明文记录 - phpMyAdmin 的数据库配置文件
/etc/phpmyadmin/config-db.php中看到存储的数据库密码 - 计算机名称
/etc/hostname
也可以直接输入命令hostname - 公钥存储在
/root/.ssh/authorized_keys中 syslog中藏着软件运行时的信息和状态,可能含有关键数据/etc/[软件名]/xxx.conf软件配置信息
IOS
- IOS中facebook中关于group的数据库
/AppDomainGroup-group.com.facebook.Facebook/cask/+100095395891455/FBMessagingMailboxCaskStore/2/fb-msys-100095395891455.db - 大疆手机端 App 的数据目录(IOS
/AppDomain-com.dji.go/Documents/FlightRecords
windows
- ThunderBird的邮件存储地址:(Win10
/Users/chris/AppData/Roaming/Thunderbird/Profiles/911ah109.default-release/Mail/pop.gmail.com/
其中Sent文件存储着eml格式的已发送文件 - 很多信息存在
/user/xxx/AppData中
Android
- 米家中智能家居的信息
/data/com.xiaomi.smarthome/databases/typelist_v2.db - 米家应用的数据库存储在
/data/com.thecarousell.Carousell/databases/中. 其中carousell_room.db存储了聊天记录.
表messages中存储了消息内容, 表contacts中存储了联系人信息. 两表中的字段sender_id和id相对应 - Fitbit应用的数据库存储在
/data/com.fitbit.FitbitMobile/databases/中, 其中exercise_db中存储了运动相关的信息 - Fitnesskeeper
com.fitnesskeeper.runkeeper.pro- 数据目录
media/0/Android/data/com.fitnesskeeper.runkeeper.pro/files/Pictures/1694583627851.png可以看到跑步路线截图 - 数据库
/data/com.fitnesskeeper.runkeeper.pro/databases/RunKeeper.sqlite
表trip中存在一条记录
- 数据目录
- WhatsApp的消息记录
在/data/com.whatsapp/databases/msgstore.db数据库中- 在 message 表中可以看到消息
- 在 message_edit_info 可以看到消息被编辑过
- 激光雕刻机打印的历史记录
/data/com.hingin.l1.hiprint/databases/hiPrint
可以作为存储数据的类型的题目的参考
其他
- shell历史记录 Linux基本信息 -> 历史命令
- whatsapp的ZWAGROUPINFO中记录了群组的信息
表ZWACHATSESSION中记录了聊天的信息 - 将
DJIFlightRecord_2023-09-07_[17-36-51].txt导出后并使用TXTlogToCsvTool转换为 Csv 文件之后即可看到起飞地点的经纬度 - 文件的 NTFS 流
<filename>^Zone.Identifier可以看文件来源 - 密码爆破ssh攻击,会有很多登陆失败的记录
- 对于数据库,火眼有自动数据库重建工具
- windows程序的安装位置往往有东西
- 可以通过看服务的log来判断开没开这个服务
- 题目是连着的,没有线索可以想想之前题目要找的程序的配置文件,说不定有
- python时间转换
time.ctime(1689824898.213773) - xlsm时excel创建的启用了宏的表格文件
- 很多东西都在配置文件内,不要放弃寻找
- vmdk可以作为新的检材添加
- 对于英文软件找找英文教程
背景知识
powershell-empire
Empire是一款针对windows平台的、使用PowerShell脚本作为攻击载荷的渗透攻击框架工具,具有从stager生成、提取到渗透维持的一系列功能。Empire实现了无需powershell.exe就可运行PowerShell代理的功能,还可以快速在后期部署漏洞利用模块,其内置模块有键盘记录,Mimkatz、绕过UAC、内网扫描等,并且能够躲避网络检测和大部分安全防护工具的查杀,简单来说有点类似Metasploit,是一个基于PowerShell的远程控制木马
基本命令
# 开启服务
powershell-empire serverThunderBird
电子邮箱应用
OpenStego
开源的隐写术工具
运行实例
java -jar target/openstego-<version>.jar embed -mf message.txt -cf cover.png -p password这将把 message.txt 文件嵌入到 cover.png 图像中,并使用 password 作为密码
Android系统应用安装时的备份
Android 系统中, 应用安装时会先将应用安装包(apk or unpacked apk bundle)拷贝至存储的 /data/app/<package name>-1/(Android 8 之前) 或 /data/app/<apckage name>-<Base64 encoded 22 bit Secure Random>/ 目录下, 再将应用安装包中的部分文件(dex, odex, vdex. 字节码) 处理并提取至 oat 目录中.
Reference: What are ODEX files in Android? – Stack Overflow
/data/data/<Package Name>, /data/<Package Name> 或 /storage/emulated/0/Android/data/<Package Name> 目录下存储的是应用的数据文件.
| Directory | Description/API |
|---|---|
| App code | |
/data/app/<pkg>* | (user apps installation directory) |
/data/app/<pkg>*/base.apk | (original .apk file) |
/data/app/<pkg>*/lib/<arch>/*.so | (shared libraries) |
/data/app/<pkg>*/oat/<arch>/base.[art\|odex\|vdex] | (compiled executable code) |
/data/dalvik-cache/<arch>/*.[art\|dex\|oat\|vdex] | (compiled executable code, only for system apps) |
/data/misc/profiles/cur/<user_id>/<pkg>/primary.prof | (ART profile) |
/data/misc/profiles/ref/<pkg>/primary.prof | (ART profile) |
| Internal storage | |
/data/user[_de]/<user_id>/<pkg> | getDataDir |
/data/user[_de]/<user_id>/<pkg>/files | getFilesDir |
/data/user[_de]/<user_id>/<pkg>/[code_]cache | getCacheDir or getCodeCacheDir |
/data/user[_de]/<user_id>/<pkg>/databases | getDatabasePath |
/data/user[_de]/<user_id>/<pkg>/no_backup | getNoBackupFilesDir |
/data/user[_de]/<user_id>/<pkg>/shared_prefs | getSharedPreferences |
| External storage | |
/storage/emulated/obb/<pkg>/*.obb | (shared by multi-users, exposed in following view) |
/storage/emulated/<user_id>/Android/obb/<pkg>/*.<pkg>.obb | getObbDirs |
/storage/emulated/<user_id>/Android/media/<pkg> | getExternalMediaDirs |
/storage/emulated/<user_id>/Android/data/<pkg>/ | getExternalFilesDirs |
/storage/emulated/<user_id>/Android/data/<pkg>/files | getExternalFilesDirs |
/storage/emulated/<user_id>/Android/data/<pkg>/[code_]cache | getExternalCacheDirs |
Carousell
拍卖软件
包名com.thecarousell.Carousell
火眼关于unix时间戳的转换
字段timeOffset往往记录着时区信息,若为8则说明时间戳已经经过转换
而火眼自带unix时间戳转换,会自动将时区调整为+8输出
也就是说,如果某个时间本来就是+8的unix,火眼的转换会继续+8,会导致时间比正确时间晚8小时
PSReadLine
powershell的一个模块,一般是内置的
用于记录powershell的历史命令
查看历史命令
Get-Content "$env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt"openssl加解密命令
# 加密
openssl enc -aes-256-cbc -salt -a -e -in Data.doc -out encrypted.doc
# 解密
openssl enc -aes-256-cbc -salt -a -d -in "C:\Users\NoahTie\Desktop\New Target\encrypted.docx" -out "C:\Users\NoahTie\Desktop\New Target\decrypted.docx"Azure云服务
云端运算
可以备份存储盘
Azure下载的硬盘镜像可以作为新的检材直接挂载
Linux使用数据库文件
# 法一:
use [database];
source path_to_your_.sql
# 法二:
mysql -u -p test < test.sqlTor Browser
洋葱浏览器,可以隐藏自己的信息
强制设置进去和退出的信息:
火眼解析华为手机的BUG
火眼在解析文件集合时会出现无法解密的问题. 但实际上整个检材并没有任何加密, 怀疑是软件出现了 BUG. 换软件就可以解决问题. 或者可以将检材复制一份, 删除其中的 *_backup 文件夹, 打成 tar 包之后当做镜像添加, 坏处是解析出来的结果会缺少基本信息
数据库嵌套查询
某个表的某一列xxx_id可能是外键,来源于其他某个表的主键,可以追过去查
比如说消息表记录这消息和对应的uid
可以用uid到user表中查询