赞
踩
黑客的IP地址
遗留下的三个flag
defend/defend
root/defend
桌面内上解题文件夹,运行"./题解Script.sh"即可
使用lastb命令查看错误的登录列表
发现192.168.75.129多次尝试ssh登录
cat /var/log/secure 查看系统安全日志
发现192.168.75.129成功登录记录
查询存在爆破记录的IP
可以看到192.168.75.129进行了91次爆破
grep "Failed password" /var/log/secure |grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
可以确定攻击IP为 192.168.75.129
history 查看历史执行命令,发现第一个flag
可以看到 rc.local 开机自启配置文件被编辑过,cat /etc/rc.d/rc.local 查看文件内容,找到第二个flag
cat /etc/passwd 查看是否存在可以用户
存在一个redis用户,说明服务器存在redis服务
查看网络连接,发现6379端口并未开放
运行redis服务,redis-server
存在redis未授权访问
查看redis连接日志
cat /var/log/redis/redis.log | grep Acc
推断攻击者是通过redis未授权进入
查看/root/.ssh是否被写入密钥
基本可以判定攻击者通过redis未授权写入ssh密钥进行登录
cat /etc/redis.conf 查看redis配置文件,发现第三个flag
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。