Linux应急响应靶机 1
一、靶机介绍
应急响应靶机-Linux1
前景需要:小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!!
挑战内容:
黑客的IP地址
遗留下的三个flag
注意:
该靶机有很多非预期解,做靶机是给自己做,请大家合理按照预期解进行探索。
相关账户密码:
defend/defend
root/defend
二、解题过程
查询特权用户(uid 为0)
awk -F: '$3==0{print $1}' /etc/passwd 1
查询可以远程登录的帐号信息
awk '/$1|$6/{print $1}' /etc/shadow 1
切换为root用户,通过 .bash_history 文件查看帐号执行过的系统命令
发现第一个flag:flag{thisismybaby}
通过历史命令发现root用户修改过/etc/rc.d/rc.local文件,即开机启动配置文件
查看该文件发现第二个flag:flag{kfcvme50}
接下来查看定时任务,未发现什么有用的信息
我们直接上传whoamifuck应急响应工具,探测用户登录信息、查看系统可能存在的漏洞等等,发现系统存在redis未授权漏洞和攻击者ip:192.168.75.129
当然也可以直接查看系统安全日志:/var/log/secure
发现攻击者通过ssh私钥登录
翻翻前面的日志,发现defend用户之前修改了redis的配置文件:/etc/redis.conf
查看该配置文件,发现第三个flag:flag{P@ssW0rd_redis}
将答案整理提交
相关知识
Linux应急响应靶机 1
应急响应靶机
[护网训练]应急响应靶机整理
[护网训练]原创应急响应靶机整理集合
应急响应靶机训练
【hvv训练】应急响应靶机训练
Windows靶机应急响应(一)
前来挑战!应急响应靶机训练
【题解】应急响应靶机训练
应急响应靶场练习Linux
网址: Linux应急响应靶机 1 https://m.mcbbbk.com/newsview523117.html
| 上一篇: 记对知攻善防靶机Web2的一次应 |
下一篇: 狗狗脚趾甲流血应急处理(如何避免 |
