LetsDefend-Linux镜像取证

一名前雇员似乎对前任老板心怀怨恨，行为可疑。我们寻求帮助以查明他们的意图或计划。

Windows 端点最近遭到入侵。得益于我们先进的 EDR/IDS 解决方案，我们立即注意到了这一点。警报已升级到第 2 级（事件响应者）以进行进一步调查。作为我们的取证人员，您已获得受感染主机的内存转储。您应该继续调查。

针对我们组织开展了有针对性的网络钓鱼活动，到目前为止，我们网络中的 3 个系统已打开了钓鱼邮件。我们从其中一个受感染的系统收集了快速分类图像，并将其提供给您，以识别攻击者正在使用的 TTP。识别攻击者使用的技术和策略，以便我们的事件响应团队能够响应并减轻网络上的任何进一步危害。

Dean 从非官方来源下载了破解的软件应用程序，随后发现他的个人数据已泄露。目前正在进行调查，以确定数据泄露的原因并减轻任何潜在损失。

证据： C:\Users\LetsDefend\Desktop\L34K.7z

您是一位熟练的数字取证调查员，面临着一项艰巨的任务。一个有趣的 Docker 镜像等待着您进行分析，其中的多个层次隐藏着关键信息和线索。您的目标是揭开这些隐藏的层次，检查其内容，并通过拼凑谜团来解开谜团。考验您的技能，因为每一层都包含新的惊喜和宝贵的见解。您能揭开隐藏在这个神秘的 Docker 镜像表面之下的秘密吗？

镜像名称：mmox/what-is-0xl4ugh

Ghazy 是网络开发新手，他创建了自己的网站，但该网站似乎存在漏洞，其中一名攻击者获得了 root 访问权限。你能帮我们检查一下这个内存转储吗？

文件位置：/root/Desktop/ChallengeFile/MyW3B.7z

• Volatility2 命令：vol.py
• Volatility3 命令：vol

很早之前的一个想法，写一个工具支持各种主流的科学上网协议，通过指定订阅链接的就可以实现自动轮询代理ip，很适合爬虫，渗透，攻防的场景。

最近趁工作之余把这个工具写完了，我取名为 AirFLy（Air[port] Fly），意思是 让机场✈️起飞！

之前有文章分析过在Linux中没有curl和wget的情况下，使用exec指定/dev/tcp/ip/port的方式下载文件。但是在容器场景下，是没有/dev/tcp这类伪设备文件的，应该如何实现远程下载？