当前位置: 首页 > 新闻中心 > 公司新闻 > 取证实务丨云服务取证案例分享(内含福利)

取证实务丨云服务取证案例分享(内含福利)

发布时间:2018-09-29  浏览次数:1934

近年来,整个云服务市场呈现全面爆发的趋势,各种云服务不断推出,越来越多的企业使用云服务。同时,一些不法分子为逃避有关部门的打击,采用云服务方式进行违法行为的现象也越来越多,对云服务器上面的取证挑战也日益增加。


今天,我们跟大家分享一起网站架设在阿里云服务器上并进行远程取证的案例。该案例通过美亚柏科云勘大师进行远程取证,快速固定网站关键数据,并进行智能化网站重建,极大提升远程取证的工作效率。(文末有福利哦)


案例背景


近日某市执法部门接到报警称,某网站存在网络传销行为,通过线下勘查及远程勘验后,初步确认是网络传销行为。由于情况紧急,需要进行远程在线取证,固定有效数据。


取证思路


案例介绍中提到,该网站是网络传销网站,该类网站的固定需做到以下两点:

  1. 分析服务器上网站数据,找到网站及其数据库数据所在路径;

  2. 固定网站数据及数据库数据。


本次案例是远程直接访问云服务器,通过云勘大师进行在线取证,分析出网站及数据库,并将该网站数据完整固定到本地,再通过云勘大师的网站重建功能,在本地还原出网站,最后针对网站数据进行取证分析。


1. 网站数据固定


1.1 步骤一:新建案件


1538272225378720.png


1.2 步骤二:通过云勘大师连接云服务器


微信图片_201809301001091.png

注意:取证前需先获取目标服务器IP地址、账号(推荐管理员权限)和密码。


1538272323711039.png


网站重建需找到对应的站点数据及数据库,并查看该服务器上的站点数据及数据库,固定有效数据。


1.3 步骤三:查看网站数据


微信图片_201809301001093.png


发现解析出来的Nginx服务下的站点数据即为我们需要的站点数据。


1.4 步骤四:查看数据库数据


1538272378929357.png

该服务器上只有一个数据库服务,并且有具体的数据库数据。

接下来我们导出该网站数据及数据库数据。


1.5 步骤五:导出网站数据及数据库数据

网站数据:


1538272408951029.png


数据库数据:

导出数据库数据有两种方式,一种是只导出相应数据库的记录,一种是将数据库服务完整数据文件备份下来。在还不了解哪些数据库数据是我们想要的情况下,我们选择备份数据库文件,再通过恢复整个数据库服务数据进行网站重建。


1538272432816000.png


一键导出:

云勘大师支持一键将服务器上的所有网站数据及数据库数据导出成压缩包。一键导出的数据包,可直接作为网站重建数据源用于重建操作。


1538272466738070.png

1538272481244354.png


2. 服务器重构


2.1 网站重建


网站重构技术指的是将在服务器上构建好的网站数据,移植到其他系统中进行浏览。该技术的核心为:在本地系统中构建出一套完整的网站运行环境,创建站点配置让网站服务加载,创建出Web应用实例后,浏览器通过Http协议与该实例进行数据交换,并显示对应的网页数据。为保证网站数据能被正常访问,在本地重建的网站数据库连接配置还需做相应的修改。


网站重建第一关键点就是需要完整的数据源,如网站程序、数据库数据。在线取证中我们已固定要恢复的站点数据。接下来我们将进行网站重建操作。


选择服务器重构中的“网站重建”功能:


1538272506210073.png


步骤一:添加一条网站重建记录,并手动添加刚才导出的网站数据和数据库数据。


1538272526843625.png


步骤二:自动创建网站重建的运行环境。


1538272541482779.png


步骤三:数据源自动解压并解析出站点数据及数据库数据的实际路径。


微信图片_2018093010010912.png


网站重建第二关键点就是环境配置。没有环境支撑,只有数据源将无法成功重建。云勘大师的网站重建中已集成网站运行的基础环境,这能省去寻找运行环境及搭建的时间。可以在重建过程中直接设置需要运行的环境。


步骤四:站点环境配置(域名设置、web服务、数据库服务设置及网站框架设置等)。


1538272579321997.png


注意:这里使用数据库文件方式进行重建,如果是数据库记录集进行重建,需要设置相应数据库名称,数据库账号及数据库密码!


步骤五:开始重建。


1) 点击“开始重建”后,系统会自动执行与网站数据相匹配的重建流程。该过程全自动化。


1538272594165939.png


2) 重构完成,打开站点是否正常:


1538272610900662.png

1538272626203983.png



3)如果打开网站时,提示数据库配置相关的错误信息,可能是网站数据库配置存在问题,可以点击“查看可疑配置文件列表“,找到对应配置进行修改。


1538272642187815.png


2.2 网站后台密码分析


步骤一:分析数据库数据:由于没有获取到该站点的后台管理账号,只能通过查看重建起来的数据库,来分析可能存有账号密码的数据库表。


1538272662140991.png

1538272672517388.png


发现管理员账号,但是密码被加密了


步骤二:分析密码:所有密码前几位都有相同的$2y$10$,可见是使用统一加密算法处理。


到PHP官网查询加密,可找到密码散列算法函数一栏,查找到适用于 (PHP 5.5.0~ PHP 7)的password_hash-创建密码的散列(hash),说明如下string password_hash ( string$password , int $algo [, array $options ] )password_hash() 使用足够强度的单向散列算法创建密码的散列(hash)。 password_hash() 兼容 crypt()。 所以, crypt()创建的密码散列也可用于 password_hash()。


当前支持的算法:PASSWORD_DEFAULT- 使用 bcrypt 算法 (PHP 5.5.0 默认)。 注意,该常量会随着 PHP 加入更新更高强度的算法而改变。 所以,使用此常量生成结果的长度将在未来有变化。因此,数据库里储存结果的列可超过60个字符(最好是255个字符)。

PASSWORD_BCRYPT使用 CRYPT_BLOWFISH 算法创建散列。 这会产生兼容使用"$2y$" 的 crypt()。 结果将会是 60 个字符的字符串,或者在失败时返回 FALSE。PASSWORD_ARGON2I - 使用 Argon2 散列算法创建散列。


根据以上php官网加密方式显示,php5.5版本后加密方式由password_hash处理。


通过分析数据库中管理员密码字段数据。可以看到密码串前缀都有"$2y$",根据上面的PHP密码散列算法函数说明,推测该密码使用加密算法是CRYPT_BLOWFISH。


步骤三:制作密码串。


以"123456"为原始密码制作相同加密密码代码pwd.php

<?php

       $hash =password_hash('123456',PASSWORD_BCRYPT,['cost' => 10]);

       echo$hash;

?>

命令行执行php pwd.php

得到结果

1538272754304002.png


步骤四:替换数据库中管理员账号密码串,并以“123456”登录。


1538272779743196.png


成功管理网站后台,可以查看到会员信息、会员层级、涉案金额及订单情况等案件中关键信息。


点击下方图片,即可了解云勘大师↓↓↓


1538272797527484.png


美亚柏科"云勘大师"2018献礼!

云勘大师现已开放免费试用3个月(试用期:2018年9月10日-2018年11月19日),如果您感兴趣,可通过以下方式获取试用版软件:

1、联系美亚柏科当地销售人员 

2、客服热线:400-888-6688(语言选择后按1技术支持后选择2介质取证)

3、企业QQ:4008886688


软件版本持续更新中,敬请期待!

若您在产品使用或者试用过程中,有发现问题或者使用建议,欢迎您与我们联系反馈,美亚柏科研发团队将及时解决并完善产品。每一次升级完善,旨在为您带来更好的产品,美亚柏科感谢您一直以来的关注与支持。