应急靶场(6)：Linux1

目录

1. 黑客的IP地址

2. 遗留下的三个flag

   1. 第一个flag

   2. 第二个flag

   3. 第三个flag

下载好靶场（应急响应靶机-Linux(1)）并搭建好环境，使用帐号密码（defend / defend）登录靶机，然后使用su root命令和帐号密码（root / defend）切换到root用户。

一、黑客的IP地址

使用命令cat /var/log/secure | grep Failed | cut -d ' ' -f 11 | sort | uniq -c | sort -nr发现192.168.75.129爆破91次ssh口令，使用命令cat /var/log/secure | grep Accepted发现192.168.75.129最终成功登录ssh服务。

使用lastb命令发现192.168.75.129存在大量登录失败日志。

因此判断黑客的IP地址是192.168.75.129。

二、遗留下的三个flag

第一个flag

开展后门排查。使用命令cat /etc/passwd和cat /etc/passwd | grep -v nologin，未发现黑客创建的后门帐号。

使用命令find /var/spool/cron -type f -exec ls -lctr --full-time {} \+ 2>/dev/null和find /etc/*cron* -type f -exec ls -lctr --full-time {} \+ 2>/dev/null，未发现攻击者创建的计划任务。

使用命令find /etc/rc*d -type f -exec ls -lctr --full-time {} \+ 2>/dev/null，发现黑客创建的启动项/etc/rc.d/rc.local，内含flag：flag{kfcvme50}。

第二个flag

使用命令history排查历史命令，发现黑客曾经打印过flag：flag{thisismybaby}。

第三个flag

使用命令find / -newerct '2024-03-18 20:20:00' ! -newerct '2024-03-18 20:30:00' ! -path "/proc/*" ! -path "/sys/*" ! -path "/run/*" ! -path "/private/*" -type f 2>/dev/null | sort排查黑客攻击期间上传或修改过的文件，发现/var/lib/redis/dump.rdb存在ssh密钥，疑似攻击者通过redis弱口令漏洞上传ssh密钥。

使用命令cat /var/log/redis/redis.log查看redis日志，发现黑客IP是192.168.75.129。

使用命令cat /etc/redis.conf查看redis配置，发现flag：flag{P@ssW0rd_redis}。