Linux应急响应——知攻善防应急靶场-Linux(1)

news/2024/11/20 3:25:58/文章来源:https://www.cnblogs.com/dhan/p/18290512

目录
  • 查看history历史指令
  • 查看开机自启动项
  • 异常连接和端口
  • 异常进程
  • 定时任务
  • 异常服务
  • 日志分析
  • 账户排查
  • 总结

靶场出处是知攻善防
Linux应急响应靶机 1

前景需要:
小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!!

挑战内容:
黑客的IP地址
遗留下的三个flag


开机后桌面找到题解脚本,终端运行起来即可。

靶机中相关账户密码:
defend/defend
root/defend

题目如下:
在这里插入图片描述

按照自己的思路看能找到多少个flag

查看history历史指令

当前用户是defend
备份一下.bash_history文件
然后查看,没发现异常
在这里插入图片描述
切换root用户查看
然后.bash_history同理也是先备份一份
在这里插入图片描述
发现一个flag:flag{thisismybaby}

然后看历史指令发现他动了rc.local开机自启动,所以断定这里肯定是不对劲的。
那就先顺着思路看开机自启动项

查看开机自启动项

cat /etc/rc.d/rc.lcal
一眼v我50,拿到flag:flag{kfcvme50}

在这里插入图片描述

异常连接和端口

netstat -alntup # 这里肯定没问题,因为我虚拟机是仅主机模式

异常进程

ps -ef 和 top 都可以查看是否有异常进程占用

也是没啥问题
ps -ef
在这里插入图片描述
top

在这里插入图片描述

定时任务

这里本来是到开机自启然后到定时任务的,因为我们history查看历史指令的时候已经发现动过开机自启了所以先去查看开机自启。
这里的 定时任务查看指令如下:
crontab -l #查看定时任务
还可以进入/var/spool/目录中对应查看定时任务。
这里的定时任务没有问题。

在这里插入图片描述

异常服务

查看所有自启动的服务,这里可以跟运维进行沟通是否有异常的,因为自己也看不出哪些是需要和哪些是不需要的,当然排除大佬一眼看出。
下面服务自启中都没有问题。
systemctl list-unit-files --type=service | grep enabled
在这里插入图片描述

日志分析

日志分析就要看他有哪些服务应用。
日志一般都放在/var/log中,直接进去看有哪些相关应用服务日志即可。
当然这一步是可以和运维沟通的哈。
我这里进入/var/log目录后看到有redis,那就直接看redis的日志

查看redis.log后,发现日志记录的是什么时候开启了redis和端口号是啥,还有连接情况,那么这里连接情况就是可以判断是否是黑客的入侵ip地址了。

在这里插入图片描述

看完后,发现redis连接成功了的日志信息包含“ Accepted”,那就筛选一下即可。

cat redis.log | grep ' Accepted'
可以发现,外部地址连接进来的ip就可能是黑客的ip了。
所以这里记录一下疑似黑客ip为:192.168.75.129
在这里插入图片描述

账户排查

排查是否有黑客进来或者创建了用户,同事在这里也可以排查一下是否有黑客暴力破解ssh。

  • w #查看当前登录进来的用户操作

  • /etc/passwd #查看是否有可疑账号

  • /etc/shadow #查看影子文件是否有问题

  • 过滤特权用户
    查看是否有其他可疑的特权用户
    awk -F: '$3==0{print $1}' /etc/passwd

  • 过滤远程登录用户
    查看是否有其他可疑远程登录用户
    awk '/$1|$6/{print $1}' /etc/shadow


若发现可疑用户,跟运维沟通确认后直接删掉

usermod -L user    禁用帐号,帐号无法登录,/etc/shadow 第二栏为 ! 开头
userdel user       删除 user 用户
userdel -r user    将删除 user 用户,并且将 /home 目录下的 user 目录一并删除

到这里基本没有发现了。

整理一下成果:

flag{thisismybaby}flag{kfcvme50}192.168.75.129

还差一个flag,到这里基本没思路了,
由于是找flag,那就使出我的终极大招

find / -type f '*.*' | xargs -i grep 'flag{' {}

直接出来flag了,就问你牛不牛批,三个都出来了,我们前面一顿操作猛如虎,难道还不如一个指令??
其实不是的,这是个耍赖行为,做题目无非是提升自己的实力,所以还是按照正常思维做好,现实中的黑客不会给你写个flag就走了。
在这里插入图片描述

没思路就去看writeup,原来redis.conf文件中还存在一个flag
过滤一下就出来了:cat /etc/redis.conf | grep 'flag'
flag{P@ssW0rd_redis}
在这里插入图片描述

总结

题解:

192.168.75.129
flag{thisismybaby}
flag{kfcvme50}
flag{P@ssW0rd_redis}

在这里插入图片描述

反思一下为什么没有想到配置文件,给他忽略了,flag藏在里面。
其实仔细想想确实有道理,因为黑客入侵后,基本的应急角度来看,他做的东西也有可能是掩耳盗铃,比如自启动和log日志中记录的一些攻击行为,让人觉得已经没有其他手脚被动过了。
但其实不然,配置文件中留下手脚这种被忽略后,照样能够通过这个后门进来。
一开始还想吐槽一下怎么flag还在配置文件中的,仔细一想,我确实被被摆了一道,配置文件后门没找出来,确实太菜了。。。。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/740708.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

RockyLinux9.4升级Linux内核6.X️

RockyLinux9.4升级Linux内核6.X🌶️ 原文连接:https://rockylinux.cn/notes/rocky-linux-9-nei-he-sheng-ji-zhi-6.html 查看当前内核版本[root@localhost ~]# uname -aLinux iZ2zeaytpwetf58zk3e21dZ 5.14.0-427.18.1.el9_4.x86_64 #1 SMP PREEMPT_DYNAMIC Mon May 27 16:…

网络安全--计算机网络安全概述

那么问题就来了,如果我的访问控制权限被高级别的权限回收了,那么我不作限制那么对方依旧会拥有我分配给他的权限,这就是为什么在数据库中会有级联删除,级联权限,需要工作人员做分配设置。保证用户的信息完整性,就是不允许非信息拥有者篡改其他人的信息,因为拥有者所拥有…

SQL注入方法

记录一些注入思路和经常使用的工具,后续有用到新的工具和总结新的方法再继续补充。目录前言如何测试与利用注入点手工注入思路工具sqlmap-r-u-m--level--risk-v-p--threads-batch-smart--os-shell--mobiletamper插件获取数据的相关参数 前言记录一些注入思路和经常使用的工具,…

腾讯云COS插件入驻Discuz!x

Discuz! 平台,由一群高擎互联网人在倾情支持, 他们来自于腾讯Discuz! 创业团队成员以及优秀的开发者。在中国互联网风云变迁中,Discuz! 20多年间为300万企业及站长赋能,秉承“开放、连接、共赢”的精神,倡导与生态伙伴及开发者共建健康可持续的Discuz!品牌合作模式,突破以…

推出支持第五代CAPSENSE™技术的PSoC™ 车规级4100S Max系列(CY8C4147AZS、CY8C4148AZA),适用于人机交互应用的需求

PSoC™ 车规级4100S Max系列产品带有扩展的闪存器件与通用输入/输出接口(GPIO),支持第五代CAPSENSE™电容和电感式触摸感应技术,能够满足新一代人机交互(HMI)应用的需求。全新的PSoC™ 4100S Max系列产品带有扩展的闪存器件与通用输入/输出接口(GPIO),支持第五代CAPSE…

在idea中创建第一个项目

1.为了方便后续学习管理,从file->new->project->empty project创建空白项目,我取名为JavaSE (* idea的版本不同,空白项目的位置也有所不同,我使用的是2024.1.4) 2.新建模块,file->new->module,出现窗口后选中最上面的java,名字取了basic grammar 3.由于…

NVIDIA+CUDA Toolkit+Pytroch安装

1 NVIDIA驱动安装 一般来说,驱动可以使用兼容的最新版本 window安装 https://www.nvidia.cn/geforce/drivers/2 CUDA Toolkit安装 (1)CUDA Toolkit版本要求 win+R输入nvidia-smi 查询可以安装CUDA Toolkit版本,CUDA Toolkit版本小一点没有关系(2)下载CUDA Toolkit并直接运行…

基于 RedisTemplate + 线程池 实现 Redis分布式锁

分布式锁需求 往往部署的 后台服务 不会只是 单机部署 了,而是通过集群的方式运行在两个甚至多个部署的服务器上(即便是同一个服务器的两个端口上,也会出现同样的问题)等架构来进行部署。 在用户所发送的请求中,每个请求将会通过负载均衡发送到不同的服务器中。如果我们还…

2024全球数字经济大会:大模型时代下DataOps驱动企业数智化升级

在会上,白鲸开源CEO 郭炜于「开放原子开源数据库生态论坛」上发分享了题为 《大模型时代下DataOps驱动企业数智化升级》 的演讲,并在「开源与闭源,在行业应用中的发展潜能」的圆桌对话中分享了自己的开源心得体会与经验。7月5日,以“开源生态筑基础,数字经济铸未来”为主题…

多进程优化顶点小说爬虫:加速爬取速度的深度优化策略

本文介绍了如何通过引入多进程技术对顶点小说爬虫进行进阶优化,显著提升了数据爬取效率。首先分析了单进程爬虫面临的瓶颈与挑战,随后详细讨论了多进程并行爬取的实施方法及其在提升效率方面的优势。顶点小说进阶(多进程+协程) 建议: 看之前可以先看我之前发布的文章(异步…

从数据到洞察:DataOps加速AI模型开发的秘密实践大公开!

在AI驱动的商业世界中,DataOps作为连接数据与洞察的桥梁,正迅速成为企业数据战略的核心。在WOT全球技术创新大会2024北京站,白鲸开源联合创始人&CTO 代立冬 在「大数据技术与基础设施」专场深入分析DataOps的核心理念、AI大模型开发流程,并通过白鲸开源科技的实践案例,…

powerquery刷新后固定列宽度

依次打开“表格工具”->“设计”->“属性”->“调整列宽”, 取消“调整列宽”选项