做站群一个网站多少钱,营销型网站设计流程,餐饮网站开发方案,网站快速推广文章目录 查看history历史指令查看开机自启动项异常连接和端口异常进程定时任务异常服务日志分析账户排查总结 靶场出处是知攻善防 Linux应急响应靶机 1 前景需要#xff1a; 小王急匆匆地找到小张#xff0c;小王说李哥#xff0c;我dev服务器被黑了,快救救我 小王急匆匆地找到小张小王说李哥我dev服务器被黑了,快救救我
挑战内容 黑客的IP地址 遗留下的三个flag 开机后桌面找到题解脚本终端运行起来即可。
靶机中相关账户密码
defend/defend
root/defend题目如下
按照自己的思路看能找到多少个flag
查看history历史指令
当前用户是defend 备份一下.bash_history文件 然后查看没发现异常 切换root用户查看 然后.bash_history同理也是先备份一份 发现一个flagflag{thisismybaby}
然后看历史指令发现他动了rc.local开机自启动所以断定这里肯定是不对劲的。 那就先顺着思路看开机自启动项
查看开机自启动项
cat /etc/rc.d/rc.lcal 一眼v我50拿到flagflag{kfcvme50} 异常连接和端口
netstat -alntup # 这里肯定没问题因为我虚拟机是仅主机模式
异常进程
ps -ef 和 top 都可以查看是否有异常进程占用
也是没啥问题 ps -ef ↓ top ↓
定时任务
这里本来是到开机自启然后到定时任务的因为我们history查看历史指令的时候已经发现动过开机自启了所以先去查看开机自启。 这里的 定时任务查看指令如下 crontab -l #查看定时任务 还可以进入/var/spool/目录中对应查看定时任务。 这里的定时任务没有问题。 异常服务
查看所有自启动的服务这里可以跟运维进行沟通是否有异常的因为自己也看不出哪些是需要和哪些是不需要的当然排除大佬一眼看出。 下面服务自启中都没有问题。 systemctl list-unit-files --typeservice | grep enabled
日志分析
日志分析就要看他有哪些服务应用。 日志一般都放在/var/log中直接进去看有哪些相关应用服务日志即可。 当然这一步是可以和运维沟通的哈。 我这里进入/var/log目录后看到有redis那就直接看redis的日志
查看redis.log后发现日志记录的是什么时候开启了redis和端口号是啥还有连接情况那么这里连接情况就是可以判断是否是黑客的入侵ip地址了。 看完后发现redis连接成功了的日志信息包含“ Accepted”那就筛选一下即可。
cat redis.log | grep ’ Accepted’ 可以发现外部地址连接进来的ip就可能是黑客的ip了。 所以这里记录一下疑似黑客ip为192.168.75.129
账户排查
排查是否有黑客进来或者创建了用户同事在这里也可以排查一下是否有黑客暴力破解ssh。 w #查看当前登录进来的用户操作 /etc/passwd #查看是否有可疑账号 /etc/shadow #查看影子文件是否有问题 过滤特权用户 查看是否有其他可疑的特权用户 awk -F: ‘$30{print $1}’ /etc/passwd 过滤远程登录用户 查看是否有其他可疑远程登录用户 awk ‘/$1|$6/{print $1}’ /etc/shadow 若发现可疑用户跟运维沟通确认后直接删掉
usermod -L user 禁用帐号帐号无法登录/etc/shadow 第二栏为 ! 开头
userdel user 删除 user 用户
userdel -r user 将删除 user 用户并且将 /home 目录下的 user 目录一并删除到这里基本没有发现了。
整理一下成果
flag{thisismybaby}flag{kfcvme50}192.168.75.129还差一个flag到这里基本没思路了 由于是找flag那就使出我的终极大招
find / -type f *.* | xargs -i grep flag{ {}直接出来flag了就问你牛不牛批三个都出来了我们前面一顿操作猛如虎难道还不如一个指令 其实不是的这是个耍赖行为做题目无非是提升自己的实力所以还是按照正常思维做好现实中的黑客不会给你写个flag就走了。
没思路就去看writeup原来redis.conf文件中还存在一个flag 过滤一下就出来了cat /etc/redis.conf | grep ‘flag’ flag{PssW0rd_redis}
总结
题解
192.168.75.129
flag{thisismybaby}
flag{kfcvme50}
flag{PssW0rd_redis}反思一下为什么没有想到配置文件给他忽略了flag藏在里面。 其实仔细想想确实有道理因为黑客入侵后基本的应急角度来看他做的东西也有可能是掩耳盗铃比如自启动和log日志中记录的一些攻击行为让人觉得已经没有其他手脚被动过了。 但其实不然配置文件中留下手脚这种被忽略后照样能够通过这个后门进来。 一开始还想吐槽一下怎么flag还在配置文件中的仔细一想我确实被被摆了一道配置文件后门没找出来确实太菜了。。。。
