admin管理员组文章数量:1794759
应急靶场(6):Linux1
一、黑客的IP地址
使用命令cat /var/log/secure | grep Failed | cut -d ' ' -f 11 | sort | uniq -c | sort -nr发现192.168.75.129爆破91次ssh口令,使用命令cat /var/log/secure | grep Accepted发现192.168.75.129最终成功登录ssh服务。
使用lastb命令发现192.168.75.129存在大量登录失败日志。
因此判断黑客的IP地址是192.168.75.129。
二、遗留下的三个flag
第一个flag
开展后门排查。使用命令cat /etc/passwd和cat /etc/passwd | grep -v nologin,未发现黑客创建的后门帐号。
使用命令find /var/spool/cron -type f -exec ls -lctr --full-time {} \+ 2>/dev/null和find /etc/*cron* -type f -exec ls -lctr --full-time {} \+ 2>/dev/null,未发现攻击者创建的计划任务。
使用命令find /etc/rc*d -type f -exec ls -lctr --full-time {} \+ 2>/dev/null,发现黑客创建的启动项/etc/rc.d/rc.local,内含flag:flag{kfcvme50}。
第二个flag
使用命令history排查历史命令,发现黑客曾经打印过flag:flag{thisismybaby}。
第三个flag
使用命令find / -newerct '2024-03-18 20:20:00' ! -newerct '2024-03-18 20:30:00' ! -path "/proc/*" ! -path "/sys/*" ! -path "/run/*" ! -path "/private/*" -type f 2>/dev/null | sort排查黑客攻击期间上传或修改过的文件,发现/var/lib/redis/dump.rdb存在ssh密钥,疑似攻击者通过redis弱口令漏洞上传ssh密钥。
使用命令cat /var/log/redis/redis.log查看redis日志,发现黑客IP是192.168.75.129。
使用命令cat /etc/redis.conf查看redis配置,发现flag:flag{P@ssW0rd_redis}。
本文标签: 应急靶场(6)Linux1
版权声明:本文标题:应急靶场(6):Linux1 内容由林淑君副主任自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.xiehuijuan.com/baike/1754851331a1707313.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论