本篇依旧是省钱向取证教程,使用的工具有:FTK Imager、Ext4Fsd、VMWare。
关于Linux仿真绕密,向来有很多手段和方法,比如以下一系列使用单用户模式的绕过方式:
https://blog.csdn.net/qq_39682037/article/details/105373346
https://blog.csdn.net/qq_61476788/article/details/131012950
https://goyasha.com/post/6VdyDR9D/
但是如果单用户模式被禁用,那就尴尬了:
所以我们还有个思路,就是模仿市面上各大取证软件的手法,修改 shadow 文件的内容,将其修改为我们已知的密码对应的哈希,这样启动的时候就可以使用我们已知的密码啦,也就实现了密码绕过。
话不多说,直接开干!
开干!
首先需要安装一个程序,也可以说是一个驱动,叫 Ext4Fsd ,这个驱动能让 Windows 支持 ext2/3/4 文件系统,基本能满足挂载的需要了:
https://github.com/bobranten/Ext4Fsd/releases/tag/v0.71
安装号之后开始挂载镜像,在此使用 FTK Imager 进行磁盘挂载,记得选用 读写模式,如果镜像是在加密容器里面的,记得指定 写缓存文件夹 选项,建议将写入缓存放到加密容器之外的地方,免得撑爆加密容器。
挂载完成后,就能在资源管理器里面看到挂载后的 “磁盘” 了:
然后就可以直接进行编辑:
我个人比较喜欢用以下的来替换,对应的123456,替换后的效果如下:
$6$veBoGh64QTk=$1.BxKfjDYo8n4bX7zMNRe8SDvNK52eWz88yl4TpsSrf75vU/ySsL4JyZD0Yf5qlKc9Jh9ijDed1SM9FQ53pJz.保存退出,此时按照手工仿真的方法仿真就可以了,在登陆界面输入 root/123456 即可直接登录,如果有其他用户可以按需替换。
关于手工仿真,欢迎移步:
【镜像仿真篇】特殊的Windows11系统镜像仿真之旅(长篇):https://mp.weixin.qq.com/s/KsZOEGJ3sn53NQs8AveUCQ ,作者是 DFIR蘇小沐
