应急响应实战--Linux1

应急响应实战--Linux1

一、环境背景

打开linux1靶机，桌面文件一份base64加密的题解密文，解密得出此次实战内容要求：

1.找到攻击者IP

2.找到3个flag

二、过程

看到靶机要求，ip这块想法直接通过登录连接情况找到，三个flag想法是可能放在某个日志文件或者执行程序上，接下来根据自己的学习收获和以往的应急经验，将一步步进行应急分析，以下截图记录部分是找到有用的信息，在此之前已经做了其他很多命令查询分析。然后结合公众号中关于linux应急响应基础命令和实战总结两篇文章，来找到三个flag和攻击者IP。

这个靶场的难点我个人觉得在于不像其他直接是某个事件应急，比如是webshell，挖矿，病毒什么的，可以根据情况迅速定位，找到相应路径进行遏止，这里没有说是什么事件，然后它的flag在哪得，找到它得一个个把可疑的位置进行排查

根据个人习惯，直接先提升root权限来查询，因为后续的一些命令需要root权限才能执行

查看history，看看攻击者做了什么，结果直接出来一个flag，有点懵了，以这个形式出现

发现的第一个flag：flag{thisismybaby}

接着看到有编辑过rc.local开机启动配置文件,查看该文件，直接找到第二个flag，刚开始还不知道flag会放在哪，结果一下子找到两。

第二个flag：flag{kfcvme50}

找第三个的时候花了很久找不到，什么配置，各种日志，近期访问文件，更改文件，所有的php文件，sh文件等等，没找到，头大无头绪。

cat /etc/passwd cat /etc/shadow 查看用户信息、查询影子文件看到了redis，有点可疑搜索日志看看

find / -name redis 查询关于redis名字的信息

cd /var/log/redis 看到并进入日志目录

ls 查看目录有什么

cat redis.log-20240609 查看该文件信息

flag信息无，但是看到连接IP 192.168.75.129

查看错误登录信息，又看到IP 192.168.75.129

查看本机ip192.168.122.1

可以确认攻击IP 为192.168.75.129

现在只剩下一个flag ，分析发现，开启了ssh服务，root权限下，判断是redis未授权

下一步查看关于redis的信息，查看配置文件

find / -name redis.conf

cat /etc/redis.conf

找到第三个flag：flag{P@ssW0rd_redis}

至此任务完成：攻击者ip 192.168.75.129

三个flag依次是flag{thisismybaby}、flag{kfcvme50}、flag{P@ssW0rd_redis}

注：记录学习，若有不足之处，望师傅们教导指正。