2024-10-28🌱湖州: 🌦 🌡️+17°C 🌬️↓13km/h

靶场来源

账户密码是defend

挑战内容

前景需要：小王急匆匆地找到小张，小王说”李哥，我dev服务器被黑了”,快救救我！！

挑战内容：

黑客的IP地址

遗留下的三个flag

其他详细的信息，在以上的链接中均已提及，本文仅通过实验来验证巩固自己的应急响应知识

拿到这个环境后，先进行一些常规命令检查和一些常见文件的检查

正常来说攻击者为了隐藏踪迹一般都会清除历史命令，但是以防万一还是查看下

先是普通用户的历史命令
history
然后进入到root用户，查看历史命令

结果发现第一个flag在root用户的历史命令中就出来了flag{thisismybaby}

1 2	cat /etc/passwd cat /etc/shadow

并没有发现可以用户信息

在终端运行时会默认加载的配置文件，在用户的根目录下
这里是.bash_profile，还有.bashrc等隐藏文件

1	cat .bash_profile

defend用户的配置文件也查看了，并无异常

显示用户的最近的登录日志，实际上是查看的是wtmp日志，位于/var/log/wtmp文件
last
若是没有last命令的话，可以使用以下命令达到一样的效果
cat /var/log/wtmp | strings

可疑IP：192.168.75.129

攻击者可能进行过爆破密码登录，查看可以的失败登陆记录

1	sudo cat /var/log/btmp \| strings

果然进行了很多次的ssh登录失败记录，这一步获得的IP地址也是192.168.75.129，大概率就是攻击者IP

centos中用户可以在其中添加脚本命令，系统在启动时加载，centos6中可以直接使用，但是centos7中需要在设置中允许

1	cat /etc/rc.local

发现第二个flag：flag{kfcvme50}

检查下执行权限，果然赋予了执行权限

查看可疑的自启动的服务，有可能是攻击者留下的后门

1	systemctl list-unit-files --type=service \| grep enable

没有发现什么可疑的服务

该检查的都检查了，但是始终找不到第三个flag，从前两个flag来看，攻击者已经得到了用户权限，并且做了后门，并且有爆破ssh爆破的尝试，极有可能是通过ssh登陆进来的

是在没啥思路了，于是使用系统安装包检查，检查一下到底修改了哪些应用的配置吧

1
2
3

校验所有的安装的rpm包
rpm -V -a

发现redis.conf被修改过，很可疑，检查一下

1	cat /etc/redis.conf

发现第三个flag：flag{P@ssW0rd_redis}

至此，靶机的要求全部结束，提交flag

应急响应的时候站在攻击者的角度，进行攻击模拟可能更加有效率，常规的检查有时候检查不出来的，站在攻击者的角度进行测试说不定就找出问题了。