使用网探多层内网勘验实战
2023-1-24 09:53:4 Author: 网络安全与取证研究(查看原文) 阅读量:13 收藏

前言导读

近期,我司受客户委托协助解决某个案件,客户反馈某台Windows服务器无法制作磁盘镜像,案件服务器相关情况如下图所示:

了解到具体情况后,我们根据客户的诉求,结合网探的功能成功为客户解决了难题,接下来跟小编一起回顾一下整个过程吧!

首先通过网探连接Linux服务器,由于两台服务器在同一局域网内,可使用局域网端口映射功能,将Windows服务器的3389端口映射至本地3390端口(未被占用的端口)。

局域网端口映射成功后,远程桌面连接本地的3390端口,关闭目标服务器的SQLServer服务、去掉1433端口监听(SQLServer默认监听1433端口),将网探Agent文件复制到远程桌面并打开。

以Linux服务器为跳板机,通过连接Agent的方式,填写主机地址,监听端口1433,由于仅开放了两个端口,需要通过1433端口连接到Windows服务器。

制作磁盘镜像,选择Linux服务器作为跳板机,上传镜像至华为云OSS。由于Windows服务器无任何外网通信,所以网探通过跳板机的形式解决无外网通信也能获取磁盘镜像的问题

在任务栏查看上传镜像进度及任务详情,由于是同区域内网传输,速度高达30-70MB/S,可以看到下图中的传输速率在48MB/S。

至此,我们就成功上传并制作了镜像,后续可使用火眼证据分析软件解析镜像,查看数据库、浏览器、用户痕迹等分析结果。下图展示了远程连接过该服务器的连接记录,为办案提供帮助。

回顾整个案件,我们关键需要解决的问题是——如何连接到无外网通信服务器并上传磁盘镜像至华为云OSS,其中网探核心功能——端口映射、磁盘镜像上传至华为云OSS就提供了很好的助力。


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3NTU3NTY0Nw==&mid=2247485542&idx=1&sn=4aba95ebb22e3259f6ef33da8c7290eb&chksm=cf3e2856f849a1405512043c2cc39cdc1a7336c98e2a3d1e0c1fcdef20a1d2dd0b8ffd1ff9eb#rd
如有侵权请联系:admin#unsafe.sh