Ip 仿真起来ipconfig看

所以网探连接目标，需要ip和端口。 默认端口一般在22号 因为都是去连接sshd服务，而sshd服务默认都是在22号端口。 使用 netstat -anpt命令查看该目标的sshd服务端口是否更改。 如图所属，sshd服务在7001端口

使用vim /etc/nginx/nginx.conf命令查看nginx的文件并没有发现该服务器配置网站。 就是主配置网站中没有配网站，加了一个 include /etc/nginx/conf.d/*.COMF1b; 说明网站发到了该目录下，并且以.com结尾。 使用cd到该目录下 看conf.d文件下

发现该服务器连接了三个网址。 而题是由www.kkzjc.com引出来的 那就看该网站的配置文件 使用：vim www.kkzjc.com 查看该网站的配置文件

由图可知它监听的是32000的端口 用了Proxy_pass 转发给本地的8091端口 （就是一个跳板纯转发的作用）

查看history命令（仿真，取证大师，火眼证据分析，网探） 看到有docker 在仿真中打开docker 使用命令Systemctl start docker打开docker的服务

使用命令docker ps 看到转发到的8091端口

然后在使用netstat -nappt查看端口。 8091端口就可以看到了。

这个就是外面一级别的跳板 上面的30000，31000的nginx就转发到8091端口

根据上上图8081端口的地址（08f64376a2e3）就可以进入到容器里面了 使用命令：docker exec -it 08 /bin/bash

进到容器里面之后，同样history

看到里面还是有nginx 同样看一下它的nginx 使用命令：;more /etc/nginx/nginx.conf

看到里面还有一个include了一个路径 到这个路径下看

发现一个hl.conf文件 打开 使用命令：more hl.conf

它监听的是80端口，然后PRoxy_pass转发到192.168.1.176：80上

远程登录的信息在last上面看

exIT退出目录 用last 发现有人使用pta/0方式登录192.168.99.222 ip（可能是做服务站维护） 其他的都是正常物理机登录的