Linux应急响应靶机 1

一、靶机介绍

应急响应靶机-Linux1

前景需要：小王急匆匆地找到小张，小王说"李哥，我dev服务器被黑了",快救救我！！

挑战内容：

黑客的IP地址

遗留下的三个flag

注意：

该靶机有很多非预期解，做靶机是给自己做，请大家合理按照预期解进行探索。

相关账户密码：

defend/defend

root/defend

二、解题过程

查询特权用户(uid 为0)

awk -F: '$3==0{print $1}' /etc/passwd
1

查询可以远程登录的帐号信息

awk '/\$1|\$6/{print $1}' /etc/shadow
1

切换为root用户，通过 .bash_history 文件查看帐号执行过的系统命令

发现第一个flag：flag{thisismybaby}

通过历史命令发现root用户修改过/etc/rc.d/rc.local文件，即开机启动配置文件

查看该文件发现第二个flag：flag{kfcvme50}

接下来查看定时任务，未发现什么有用的信息

我们直接上传whoamifuck应急响应工具，探测用户登录信息、查看系统可能存在的漏洞等等，发现系统存在redis未授权漏洞和攻击者ip：192.168.75.129

当然也可以直接查看系统安全日志：/var/log/secure

发现攻击者通过ssh私钥登录

翻翻前面的日志，发现defend用户之前修改了redis的配置文件：/etc/redis.conf

查看该配置文件，发现第三个flag：flag{P@ssW0rd_redis}

将答案整理提交