一种文件取证思路骚操作分享

预览

微信公众号：渊龙Sec安全团队
为国之安全而奋斗，为信息安全而发声！
如有问题或建议，请在公众号后台留言
如果你觉得本文对你有帮助，欢迎在文章底部赞赏我们

0# 前言

主要是自己在做GA项目时候，碰到的一个坎坷的取证思路，放出来给各位师傅分享一下
项目要通过目标服务器上的数据，拿到并锁定嫌疑人的真实身份
由于项目保密性，有些截图不方便展示，师傅们见谅~

1# 情况分析

情况是这样，打的是菠菜网站，通过畸形 WebShell 拿到服务器权限，然后发现目标服务器上打开了以下内容：百度云盘、搜狗浏览器、服务器安全狗

我在突破服务器安全狗的时候，发现能添加账户，但不能提权，有点无语

试了 mimikatz 拿不到明文密码，密钥用CMD5解不开

于是打算从百度网盘目录入手，但 user 目录下没有资料，读取了相关的数据库也没啥用（以下是我本地测试的效果）：

PS:这几个db文件可以用 Navicat 工具直接读取文件上传下载记录和对应文件的 Hash 值，这个主要看运气了（有可能目录名就是真实手机号）

于是转战搜狗浏览器，但也找不到有价值的东西，上了3个脚本都没用

2# 取证思路

• 难道 我就要跟这个犯罪分子失之交臂了吗？

• 我可以被他在技术上侮辱吗

• 作为一个正直的人，我要说NO！！！

目标服务器是用 UPUPW ANK 来搭建Web服务，对应的文件 guc.dll 在本地目录存着，但目标服务器并没有登录账号，所以无法通过分析本地文件拿到嫌疑人真实信息：

于是我把目标放到安全狗的身上，我们都知道使用服务器安全狗是必须要登录用户，不然没办法使用，于是我们尝试通过安全狗的本地文件获得嫌疑人真实信息：

于是先在自己的电脑上安装了 ProcessMonitor 工具，来监听分析安全狗进程的操作，来尝试获得登录者的真实信息：

在本地环境登录安全狗，再通过 ProcessMonitor 工具直接搜索自己的账户，发现登录安全狗时，相关账号（真实手机号）会被写入到注册表里面了，哈哈哈被我逮到了吧~

下面就是最重要的，去目标服务器上查询注册表相关信息，查询语句如下：

1reg query "HKLM\SOFTWARE\WOW6432Node\Safedog\SafedogUpdateCenter" /v Cloud_User  

很顺利拿到嫌疑人真实手机号，开心的给警察叔叔发报告咯~哈哈

3# 思路总结

有些师傅可能没看懂，我这边解释一下：

• 有些软件都是需要登录才能使用，在登录后会在本地文件或者在注册表写入登录的相关信息（比如登录的账号），我们可以分析本地对应的文件或者注册表内容拿到登录信息

• 本文只是以安全狗为例子，通过工具分析并发现安全狗会将登录账号写入注册表，从而在注册表成功拿到嫌疑人真实手机号

• 我发现该取证思路全网并没有相关文章，于是记录分享一下，其实其他很多软件也可以用这种思路拿到真实使用者信息的，你懂的

我是Cainsoftware，我在渊龙Sec安全团队等你
微信公众号：渊龙Sec安全团队
欢迎关注我，一起学习，一起进步~
本篇文章为团队成员原创文章，请不要擅自盗取！