前言
看了盘古石大神公众号分享的文章,于是打算自己操作一下。检材就是21MY个人赛的FTP,试着用该可视化工具对其操作一下。由于技术有限,学习阶段,大家多多指点。
关于Docker取证
在写这篇blog的同时参考了大牛的文章。【安全译文】Docker环境下的事件分析和取证 - SecPulse.COM | 安全脉搏
Docker取证是一个曾经困扰我很久的问题,甚至那个时候理解不了Docker容器。大家可以参考上面这篇文章。
所以,很多人为了方便快捷,选择使用docker搭建服务器等,暂时还没有一个取证软件能对这样的Linux系统进行取证。大多数时候都得xshell连上进行手动取证。
因为缺乏参考,所以我大多数时候采用x-ways进行取证,但有些信息仍然不好获取,所以利用Portainer进行补充取证。
废话不多说了。
利用x-ways进行docker取证
以21年美亚杯镜像为例。打开varlibdocker ,我们重点关注overlay2、containers,因为我的经验里只有这两个地方会存放我们取证需要的信息(可能只是我遇到的题目太少。)
进入overlay2,里面发现一些想要的,自我觉得这是没有什么存放规律的。
最终在其中的一个文件夹找到pureftpd的配置文件
到此xways的任务就完成了。下面我们进行仿真取证。
首先利用xshell连接虚拟机
Kali下检查是否安装openssh-server:ps -e |grep ssh
没有则安装:sudo apt-get install openssh-server
安装后重启ssh:service restart openssh-server
尝试用xshell连接,提示错误,继续找解决办法。
Vi /etc/ssh/sshd_config,修改两处以后连接成功。
xshell连接成功以后再用xftp连接
本地把portainer,也可以在线装,详细方法大家可以百度一下。
传输到虚拟机里
docker load -i portainer-ce.tar(大概是拿来解压并传入docker里)
docker image ls 可以看见这个,但是没有名字。所以自己给它加一个。
Docker tag (image id) portainer
然后检查一下:docker image ls
因为portainer的数据存储在容器内部的 /data 目录,这样容器重启的时候数据会丢失,所以我们创建了一个portainer_data卷来实现数据持久化创建数据卷:docker volume create portainer_data
然后启动它:docker run -d -p 8000:8000 -p 9000:9000 --name=portainer --restart=always -v /var/run/docker.sock:/var/run/docker.sock -v portainer_data:/data portainer/portainer-ce
会出现报错但是不影响开启。之后就可以在仿真系统里面打开了。在浏览器输入
localhost:9000,进入后设置密码即可登陆。
至此,大功告成。
