点击蓝字 关注我们

添加星标不迷路

由于公众号推送规则改变，微信头条公众号信息会被折叠，为了避免错过公众号推送，请大家动动手指设置“星标”，设置之后就可以和从前一样收到推送啦

题目

前景需要：小王急匆匆地找到小张，小王说："李哥，我dev服务器被黑了，快救救我！！"

挑战内容

黑客的IP地址

遗留下的三个flag

注意：该靶机有很多非预期解，做靶机是给自己做，请大家合理按照预期解进行探索。

相关账户密码

defend/defend

root/defend

关于解题

桌面内上解题文件夹，运行"./题解Script.sh"即可

下载后解压

从夸克网盘下载靶机

链接：https://pan.quark.cn/s/3ca80a85d48b#/list/share

然后打开虚拟机，是个CentOS 7系统，输入密码defend登录

解题

纯按照我自己的思路去做的，这里标记一下，初步认为事件发生大致范围是3月20日左右

历史命令

首先保存最容易丢失的东西，历史命令文件，先把历史命令存储大小修改到5000

然后给历史命令加下时间戳并显示执行的用户和IP

我去，发现没有多少条历史命令，但在里面发现了一个flag，同时在访问开机启动项，一会可以查一下下面的启动项文件

/etc/rc.d/rc.local

flag1

flag{thisismybaby}

账户

没看到有啥异常的

影子文件下也没有特殊权限的

虚拟机卡死了，再从新登录一下，尴尬

发现root和gdm的登录时间

查一下可以登录的账户以及可以远程登录的，目前就root、gdm、defend三个账户有过登录

端口、进程

感觉其实没太大必要看，因为这玩意儿一般只有真实应急才有

netstat -antlp

我去，你别说，发现一个IP

192.168.122.1

试了下，这个IP不对，可能还得到日志里找IP

ps -aux

这里无法确认，只能先锁定几个可疑的

启动项、定时任务、服务

上面我们得到的启动项查一下

/etc/rc.d/rc.local

flag2

flag{kfcvme50}

这个文件里显示又创建了一个文件，查一下

touch /var/lock/subsys/local

空白的，白高兴了

再看一下还有没有其他的启动项，发现还是那一个

没发现有啥奇怪的定时任务

服务也没啥

文件

查一下2-3天（即攻击发生的时间）修改的文件

/etc
/etc/profile
/root/.viminfo
/var/log/gdm/:0-greeter.log.1
/var/log/sa/sa22
/var/log/dmesg.old
/var/log/vmware-network.4.log
/var/log/vmware-network.3.log
/tmp/.ICE-unix/1783
/tmp/.ICE-unix/2204
/tmp/vmware-root_776-2965448177
/home/defend/.cache/gdm/session.log.old
/home/defend/.cache/imsettings/log.bak
/home/defend/.cache/event-sound-cache.tdb.5273f7d4e755487aafc2bb0da4f69cae.x86_64-redhat-linux-gnu

一直找到前6-7天内创建的东西，发现一大堆文件，破案了，这个靶场是3月18号-19号创建的，推翻了我们初步认为的20号的判断

这里面应该就有可疑文件，可是太多了，翻页都翻不过来，我们就记一个时间3月18号-19号

浏览器下载文件未找到记录

查看一下隐藏文件

查看文件完整性，发现一些文件改变了，里面有一个比较可疑的redis.conf文件

第一行就是

flag3

flag{P@ssW0rd_redis}

最后就差IP了，那应该在日志里

日志

查看下用户日志，一堆乱码

看下登录失败日志吧

lastb

得到一个IP，去试试发现对了，完结撒花

IP

192.168.75.129

汇总

192.168.75.129
flag{thisismybaby}
flag{kfcvme50}
flag{P@ssW0rd_redis}