转载自:https://mp.weixin.qq.com/s/YUmk2UPzbQqAJbQJQ8wepQ
作者:技术专家 罗冲冲 盘古石取证
编者荐语:
十个站点九个宝塔面板,足以说明宝塔的流行。
未知防焉知攻。
我们需要了解宝塔面板的使用方法和配置,才能快速进行渗透。
下面一文详细介绍了宝塔面版的各项配置和文件位置,可以帮助我们学习到宝塔的相关知识。
宝塔面板是什么?
宝塔Linux面板是提升运维效率的服务器管理软件,支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能。例如:创建管理网站,轻松简单完成各种配置; 一键创建数据库,一键设置备份还原;方便高效的文件管理器,支持上传、下载、打包、解压以及文件编辑查看等。由此可见,宝塔面板一键管理服务器操作简单便捷,使得一些涉案服务器也使用宝塔面板进行管理。
一. 宝塔面板目录结构
Backup目录是宝塔面板的备份文件目录,保存数据库备份、站点备份。
Server目录是宝塔面板的服务目录。
wwwlogs目录是站点日志目录,保存网站的访问日志及错误日志。
wwwroot目录是站点根目录,网站源码存放在目录下。
二、如何发现宝塔服务器是否使用了宝塔服务
- 当获取到服务器的真实IP地址后,在浏览器输入服务器IP地址,会出现报错页面。如下图所示:
- 在服务器IP地址后加上宝塔面板的默认端口8888,当出现如下图所示时,说明此服务器使用了宝塔服务。注:如端口被修改,可通过简单的端口扫描来发现服务器开放了哪些端口,在通过IP地址加上可疑的端口进行测试来确定是否使用了宝塔服务。
三、宝塔面板各种安全限制的解决方法
1.BasicAuth认证
宝塔服务开启BasicAuth认证时,需要输入用户名和密码,如下图。
方法一:用户名和密码保存在/www/server/panel/config/basic_auth.json 文件中,用户名和密码加密方式为MD5。
方法二:可以使用bt 23将BasicAuth认证关闭。
2.IP访问限制
设置的白名单IP保存在/www/server/panel/data/limitip.conf 文件中。
方法一:删除limitip.conf文件,命令:rm -rf /www/server/panel/data/limitip.conf 。
方法二:可以使用bt 13取消ip访问限制。
3.安全入口限制
设置的8位字符的安全入口保存在/www/server/panel/data/admin_path.pl 文件中。
方法一:删除admin_path.pl文件,命令:rm -rf /www/server/panel/data/admin_path.pl 。
方法二:bt 14查看 或者 bt 11删除安全入口。
4.日志分析
面板操作日志被清空或default.db的logs表被篡改或者删除宝塔的web请求日志记录在 /www/server/panel/logs/request,可以查看日志进行分析。
5.查看完整的宝塔账号
宝塔面板管理界面绑定宝塔账号是看到的是不完整的。
绑定的账号会记录在www/server/panel/data/userInfo.json 查看即可。
四、宝塔面板数据
1.总览
当我们登录到宝塔面板界面,首先要关注网站和数据库数据。可以通过网站和数据库来了解服务器的部署情况和备份数据。
2.网站
网站-备份站点-下载
同时,在此页面很直观的就能看出服务器存在几个网站网址,方便我们对这些网站进行分析。
3.数据库备份
数据库-备份数据库
同时,在此页面也可获得到数据库的root密码,每个数据库的用户名和密码。
4.服务器搭建环境
当我们在做网站重构时,服务器搭建环境相对来说是重要的,如果能得知服务器在搭建时,用的是什么数据库,服务器,版本信息等,那么我在重构时会事半功倍。
在宝塔面板页面中,可以通过在软件商店直接看面板下载了哪些环境。如下图就很直观的看到这个服务器使用的是常见的LNMP环境及其版本信息。那么在我们重构时,只需要去搭建配置相同的环境就可以相对较轻松地把网站搭建起来。
总结
有部分的涉案网站也使用了宝塔面板,学习宝塔面板的使用方法,帮助我们更快地对使用了宝塔服务的涉案网站进行取证。
微信
支付宝