知攻善防应急靶场-Linux1

2024 年 11 月 13 日 (已编辑)
309 字
2 分钟

应急响应靶机训练-Linux1

来源: 知攻善防公众号

背景和环境

小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!!

内容:

  • 黑客的IP地址
  • 遗留下的三个flag

账密:

  • defend / defend
  • root / defend

应急响应

查看历史命令

先查看两个用户各自的历史命令, 在root用户的历史命令中找到第一个flag

bash
history
image.png

查看开机启动项

bash
cat /etc/rc.d/rc.local

在文件中找到了第二个flag: flag{kfcvme50}

image.png

redis日志分析

这里有redis服务, 我们去查看redis日志

bash
cd /var/log/redis
cat redis.log

开启了记录, 且记录了连接情况以及IP, 应该是可以找到的

bash
cat redis.log | grep Accepted

成功找到外来ip: 192.168.75.129

image.png

查询登录成功的ip

bash
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

发现192.168.75.129通过sshd登录了靶机

配置文件

在redis.config中找到了最后的flag; 大概是直觉, 因为配置文件通常有服务账号密码, 甚至可以在配置文件中触发反弹shell

image.png

未发现异常

bash
# 进程
ps -ef
top
# 定时任务
crontab -l
# 服务
systemctl list-unit-files --type=service | grep enabled

结束

text
192.168.75.129
flag{thisismybaby}
flag{kfcvme50}
flag{P@ssW0rd_redis}
image.png

文章标题:知攻善防应急靶场-Linux1

文章作者:4reexile

文章链接:https://4reexile.github.io/posts/%E7%9F%A5%E6%94%BB%E5%96%84%E9%98%B2%E5%BA%94%E6%80%A5%E9%9D%B6%E5%9C%BA-linux1[复制]

最后修改时间:

商业转载请联系站长获得授权,非商业转载请注明本文出处及文章链接,您可以自由地在任何媒体以任何形式复制和分发作品,也可以修改和创作,但是分发衍生作品时必须采用相同的许可协议。
本文采用CC BY-NC-SA 4.0进行许可。