在线靶场：

 

https://www.mozhe.cn

 

                                    背景介绍

某运维人员发现服务器最近被一个IP连接过SSH,请找到连接服务器SSH的IP。

实训目标

1、了解Linux备份方式；

2、了解AccessData FTK Imager使用方法；

3、掌握如何查看Linux日志；

解题方向

根据备份文件进行分析，找到IP地址，验证。

 

启动靶场，跳转桃链接回去下载备份的文件

 

下载解压之后，格式为ssh.img的格式

 

打开kail linux 进行挂载：

 

╰─ losetup -f -P ssh1.img

╰─ losetup -k 

 

ext4 分区格式的应该就是boot分区和/分区了，挂载即可

 

╰─ mkdir -pv /tmp/ssh

mount /dev/loop0p1 /tmp/ssh/

此分区为boot分区

 

尝试挂载第二块分区

 

mkdir -pv /tmp/ssh2

mount /dev/loop0p3 /tmp/ssh2

 

 

直接分区登录日志记录

只能分析message日志了

 

在线验证，获取key