目录
黑客的IP地址
遗留下的三个flag
第一个flag
第二个flag
第三个flag
下载好靶场(应急响应靶机-Linux(1))并搭建好环境,使用帐号密码(defend / defend)登录靶机,然后使用su root命令和帐号密码(root / defend)切换到root用户。
一、黑客的IP地址
使用命令cat /var/log/secure | grep Failed | cut -d ' ' -f 11 | sort | uniq -c | sort -nr发现192.168.75.129爆破91次ssh口令,使用命令cat /var/log/secure | grep Accepted发现192.168.75.129最终成功登录ssh服务。
使用lastb命令发现192.168.75.129存在大量登录失败日志。
因此判断黑客的IP地址是192.168.75.129。
二、遗留下的三个flag
第一个flag
开展后门排查。使用命令cat /etc/passwd和cat /etc/passwd | grep -v nologin,未发现黑客创建的后门帐号。
使用命令find /var/spool/cron -type f -exec ls -lctr --full-time {} \+ 2>/dev/null和find /etc/*cron* -type f -exec ls -lctr --full-time {} \+ 2>/dev/null,未发现攻击者创建的计划任务。
使用命令find /etc/rc*d -type f -exec ls -lctr --full-time {} \+ 2>/dev/null,发现黑客创建的启动项/etc/rc.d/rc.local,内含flag:flag{kfcvme50}。
第二个flag
使用命令history排查历史命令,发现黑客曾经打印过flag:flag{thisismybaby}。
第三个flag
使用命令find / -newerct '2024-03-18 20:20:00' ! -newerct '2024-03-18 20:30:00' ! -path "/proc/*" ! -path "/sys/*" ! -path "/run/*" ! -path "/private/*" -type f 2>/dev/null | sort排查黑客攻击期间上传或修改过的文件,发现/var/lib/redis/dump.rdb存在ssh密钥,疑似攻击者通过redis弱口令漏洞上传ssh密钥。
使用命令cat /var/log/redis/redis.log查看redis日志,发现黑客IP是192.168.75.129。
使用命令cat /etc/redis.conf查看redis配置,发现flag:flag{P@ssW0rd_redis}。
