应急响应靶机训练-Linux1

基本介绍

小王急匆匆地找到小张，小王说"李哥，我dev服务器被黑了"，快救救我，本靶机需要用户挑战内容：

1. 黑客的IP地址
2. 遗留下的三个flag

环境构建

下载靶机并使用VMware Workstation打开：

账号密码：

defend/defend
root/defend

解题题目

桌面内上解题文件夹运行"./题解Script.sh"即可

题目内容如下：

1.攻击者IP地址
2.三个flag(flag格式flag{xxxxx})

解题过程

第一问答

靶机的第一个问题是"攻击者IP地址"，登录靶机后查看系统测评发现并没有对应的WEB服务

于是转头查看是否有其余的服务运行，由于这里是导入的虚拟机所以也没法看到对应的服务：

随后想到既然要去确定攻击者的IP地址，那么通过日志检索便成为了很关键的一个步骤，所以去找寻日志，在这里发现redis的文件夹，说明有redis服务的运行

随后在Redis日志中进行正则匹配检索链接记录，从而找到IP地址192.168.75.129

cat /var/log/redis/redis.log |grep Acc

同时关于这个问题我们也可以通过lastb来获取登录失败的IP地址：

第二问答

靶机的第二个问题是"三个flag(flag格式flag{xxxxx})"，在这里我们可以考虑检索一下历史命令，看看是否有残留：

flag{thisismybaby}

从上面可以看到这里对/etc/rc.d/rc.local进行了更改，随后查看该文件，获取到第二个flag——flag{kfcvme50}

最后一个flag翻了很久，最终发现在redis配置文件里面——flag{P@ssW0rd_redis}

more /etc/redis.conf

文末小结

本篇文章我们主要对应急响应白鸡训练Linux1进行了解题演示，其中涉及到的知识点主要包含攻击者IP地址定位、历史命令的检索~