在线靶场:
https://www.mozhe.cn
背景介绍
某运维人员发现服务器最近被一个IP连接过SSH,请找到连接服务器SSH的IP。
实训目标
1、了解Linux备份方式;
2、了解AccessData FTK Imager使用方法;
3、掌握如何查看Linux日志;
解题方向
根据备份文件进行分析,找到IP地址,验证。
启动靶场,跳转桃链接回去下载备份的文件
下载解压之后,格式为ssh.img的格式
打开kail linux 进行挂载:
╰─ losetup -f -P ssh1.img
╰─ losetup -k
ext4 分区格式的应该就是boot分区和/分区了,挂载即可
╰─ mkdir -pv /tmp/ssh
mount /dev/loop0p1 /tmp/ssh/
此分区为boot分区
尝试挂载第二块分区
mkdir -pv /tmp/ssh2
mount /dev/loop0p3 /tmp/ssh2
直接分区登录日志记录
只能分析message日志了
在线验证,获取key
