Insider _root_甘肃龙网

------------
防守更聪明，而不是更难
0x01 前言
?是一个蓝队培训平台，专注于网络安全的防御方面，以学习、验证和提升网络防御技能。使用的题目来学习恶意流量取证，题目来自真实环境下产生的流量，更有益于我们掌握取证的流程和相关工具的使用，学习攻击者的攻击思路以便于防御者给出更好的解决办法。
0x02 题目简介题目链接
#nav-
解压密码
案情介绍
Karen进入“TAAUSAI”工作后，开始在公司内部进行一些不法活动。“TAAUSAI”聘请你开始调查此案。您获取了一个磁盘映像，发现 Karen 在她的机器上使用 Linux 操作系统。分析 Karen 计算机的磁盘映像并回答提供的问题。
推荐工具谷歌FTK 前置知识
linux的目录结构
0x03 解题过程这台机器上使用的是什么 Linux 发行版？解题
? 思路:打开FTK软件查看boot文件夹下发现机器使用的linux发行版本为kali
答案
台机器上使用的 Linux 发行版是kali
.log 的 MD5 散列值是多少？解题
? 思路:使用FTK软件发现路径**/root/root/var/log/下的log文件，计算文件的hash**并导出到本地。
答案
?.log 的 MD5 散列值为
据信下载了凭证转储工具？下载的文件名是什么？解题
? 思路：FTK 检索**/root/root//路径下的文件发现仅有.zip**
答案
? 下载的文件名为.zip
创建了一个超级机密文件。什么是绝对路径？解题
? 思路：使用FTK查看.sh可以看到linux终端上进行的一系列操作，发现创建了超级机密文件，绝对路径为：/root//.txt
答案
? 绝对路径为：/root//.txt
什么程序在执行过程中使用了asy.jpg？解题
? 思路：使用FTK查看.sh可以看到linux终端上进行的一系列操作，发现在执行的过程中使用了asy.jpg
答案
? 程序在执行过程中使用了asy.jpg
凯伦创建的清单中的第三个目标是什么？解题
? 思路：在文件夹下发文件，里面有凯伦的清单
答案
? 凯伦创建的清单中的第三个目标是
运行了多少次？解题
? 思路：查看Log文件夹下的文件夹下的日志文件，发现文件大小均为0，所以猜测运行了0次，输入答案正确
答案
【Insider】?运行了0次
据信这台机器被用来攻击另一台机器。什么文件可以证明这一点？解题
? 思路：在root 文件下存在一个图片文件可看出这台机器正在攻击别的机器
答案
? .jpeg可以证明这一点。
在文件路径中，据信 Karen 通过 bash 脚本嘲讽了一位计算机专家同行。卡伦在嘲讽谁？解题
? 思路：查看里的bash脚本，发现Karen 正在嘲笑Young
答案
? 卡伦在嘲讽Young
用户 su 多次在 11:26 root 。他是谁？解题
? 思路：想要查看root信息，需要查看日志log信息，在log文件夹下的auth.log，我们查询11:26，发现存在
答案
? 用户 su 多次在 11:26 root 。他是
根据 bash 历史，当前工作目录是什么？解题
? 思路：使用FTK查看**..sh可以看到linux**终端上进行的一系列操作,发现当前的工作目录为
答案
? 当前的工作目录为**/root///**