应急响应实战--Linux1

举报
yd_220809066 发表于 2024/06/14 08:39:38 2024/06/14
【摘要】 应急响应,linux系统

应急响应实战--Linux1

一、环境背景

打开linux1靶机,桌面文件一份base64加密的题解密文,解密得出此次实战内容要求:

1.找到攻击者IP

2.找到3个flag

二、过程

看到靶机要求,ip这块想法直接通过登录连接情况找到,三个flag想法是可能放在某个日志文件或者执行程序上,接下来根据自己的学习收获和以往的应急经验,将一步步进行应急分析,以下截图记录部分是找到有用的信息,在此之前已经做了其他很多命令查询分析。然后结合公众号中关于linux应急响应基础命令和实战总结两篇文章,来找到三个flag和攻击者IP。

这个靶场的难点我个人觉得在于不像其他直接是某个事件应急,比如是webshell,挖矿,病毒什么的,可以根据情况迅速定位,找到相应路径进行遏止,这里没有说是什么事件,然后它的flag在哪得,找到它得一个个把可疑的位置进行排查

根据个人习惯,直接先提升root权限来查询,因为后续的一些命令需要root权限才能执行

查看history,看看攻击者做了什么,结果直接出来一个flag,有点懵了,以这个形式出现

发现的第一个flag:flag{thisismybaby}

接着看到有编辑过rc.local开机启动配置文件,查看该文件,直接找到第二个flag,刚开始还不知道flag会放在哪,结果一下子找到两。

第二个flag:flag{kfcvme50}

找第三个的时候花了很久找不到,什么配置,各种日志,近期访问文件,更改文件,所有的php文件,sh文件等等,没找到,头大无头绪。

cat /etc/passwd cat /etc/shadow 查看用户信息、查询影子文件看到了redis,有点可疑搜索日志看看

find / -name redis 查询关于redis名字的信息

cd /var/log/redis 看到并进入日志目录

ls 查看目录有什么

cat redis.log-20240609 查看该文件信息

flag信息无,但是看到连接IP 192.168.75.129

查看错误登录信息,又看到IP 192.168.75.129

查看本机ip192.168.122.1

可以确认攻击IP 为192.168.75.129

现在只剩下一个flag ,分析发现,开启了ssh服务,root权限下,判断是redis未授权

下一步查看关于redis的信息,查看配置文件

find / -name redis.conf

cat /etc/redis.conf

找到第三个flag:flag{P@ssW0rd_redis}

至此任务完成:攻击者ip 192.168.75.129

三个flag依次是flag{thisismybaby}、flag{kfcvme50}、flag{P@ssW0rd_redis}

注:记录学习,若有不足之处,望师傅们教导指正。

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。