免责声明
请您仔细阅读以下声明:
您在AtomsTeam查看信息以及使用AtomsTeam服务,表明您对以下内容的接受:
AtomsTeam提供程序(方法)可能带有攻击性,仅供安全研究与实验性教学之用。
用户将其信息做其他用途,由用户承担全部法律及连带责任,AtomsTeam不承担任何法律及连带责任。
与此同时,希望你能遵守如下的规范,因为这能帮助你走的更远:
1.不在没有直接或间接授权的情况下,对公网的任何设施进行安全检测。
2.在测试的过程中,不做任何可能导致业务遇到干扰的动作。
3.任何的测试中,不查看与下载任何敏感的数据。
4.发现漏洞后,第一时间通过企业SRC进行报告。
5.不在目标站点使用后门类工具,如需必要的测试,请获取目标网站官方授权,测试可通过替代的方案(如webshell替换为phpinfo页面等)。

0x00    所需工具

qemu-img软件,将阿里云导出的raw镜像转换成vmdk格式方便VMware打开仿真

VMware ,将vmdk镜像进行仿真,进行系统取证;

0x01    前期准备

0x01-1    阿里云对象存储(oss)下载镜像

操作步骤(这里较为敏感摘取官网步骤不做复现)

在通过各种手法获取到阿里云的账户登录权限后

  1. 登录ECS管理控制台

  2. 在左侧导航栏,选择*实例与镜像* > **镜像****。

  3. 在顶部菜单栏左上角处,选择地域。确保存储镜像文件的OSS Bucket地域与当前ECS控制台所选地域保持一致。

  4. 自定义镜像页签,找到要导出的目标镜像,在操作列单击导出镜像

  5. 导出前准备配置向导页面,确认镜像是否满足导出条件,然后单击下一步

  6. (条件必选)授权ECS服务访问OSS的权限。

       如果您是首次导出镜像还没有授予ECS对OSS资源的访问权限,您可以直接在导出镜像对话框进行操作。

  1. 将镜像文件导出至**OSS区域,单击AliyunECSImageImportDefaultRole**。

  2. 云资源访问授权页面,查看到AliyunECSImageImportDefaultRole和AliyunECSImageExportDefaultRole角色,单击同意授权

  3. 返回至导出镜像对话框,重新单击下一步

  4. 单击继续导出

  5. 导出镜像文件配置向导页面,配置如下参数。

       重要

–      设置镜像导出格式功能仅在部分地域可用,支持的地域有印度(孟买)、日本(东京)、澳大利亚(悉尼)、印度尼西亚(雅加达)、德国(法兰克福)、阿联酋(迪拜)、美国(弗吉尼亚)、英国(伦敦)、新加坡、马来西亚(吉隆坡)和美国(硅谷)。

–      不支持设置镜像格式的地域,默认导出RAW格式的镜像。

–      镜像存储空间 (OSS Bucket):选择与自定义镜像所属地域相同的OSS Bucket。

–      镜像文件名前缀:为导出的镜像文件名称设置一个前缀。例如,将Demo设为前缀,则导出自定义镜像文件后,在OSS Bucket中的名称即为Demo[**系统自动生成的文件名]

  1. 信息确认无误后,单击确定导出,开始导出自定义镜像。

       在镜像导出过程中,您可以查看导出任务的进度或取消导出任务。

–      您可以在任务管理界面或者登录OSS控制台查看导出任务的进度。

       说明

       导出时间取决于镜像文件的大小和当前导出任务队列的繁忙程度,请您耐心等待。

–      在任务完成前,您都可以在任务管理界面相应地域下找到导出自定义镜像的任务,并取消导出自定义镜像。

复制URL地址到迅雷下载或者直接点击下载(镜像文件较大,建议使用迅雷下载、迅雷支持断点续传)

0x01-2    qemu-img下载

直接从官网下载(https://qemu.weilnetz.de/w64/)最新版本 qemu-w64-setup-20231224.exe进行安装

0x01-3    VMware 安装

必备技能此处省略

0x02    镜像转换

在raw镜像所在目录下打开cmd
qemu-img convert -f raw 要转换的.raw -O vmdk 生成的.vmdk

等待一段时间转换完成后看到目录下多了123.vmdk

0x03    创建虚拟机

这时候打开VMware, 文件 =>>新建 虚拟机

选择自定义 =>>下一步

下一步

稍后安装操作系统=>>下一步

选择对应的操作系统版本

命名虚拟机,并进行处理器和内存配置

这里要结合站点规模选择合适的大小

网络类型选择桥接网路

I/O控制器和磁盘类型选择默认推荐即可

选择磁盘,使用现有虚拟磁盘

选择转换后的vmdk

选择保持现有格式和转换都可

选择完成即可

此时看到创建好的虚拟机,开启即可

0x04    删除系统cloud-init和重置密码

在启动页面选中第一个,按e键进入单用户模式

找到linux开头的一行,把ro后面的部分全部删掉,改为rw init=/bin/bash

编辑完成后Ctrl+x 开始,此时进入命令行界面

whoami
sudo su

0x04-1    删除掉阿里云的cloud-init

rm -rf $(find / 2>/dev/null|grep cloud-init)

0x04-2    修改密码

(无密码或知道密码可跳过)
passwd
输入两遍新密码即可

0x05    重新启动进入系统

修改成功后重新启动

使用修改后密码登录

配置网络信息

ip a
dhclient eth0
ip a

此时镜像已经本地恢复成功,可结合取证工具和脚本进行进一步镜像取证

本文作者:AtomsTeam

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/14556.html

(0)
速盾高防cdn's avatar速盾高防cdn
上一篇 2024年3月20日 下午12:06
下一篇 2024年3月20日 下午12:07

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注