某次省护的主机应急响应及溯源

admin 2023年12月10日09:20:44评论38 views字数 900阅读3分0秒阅读模式

0x01 前言

本次环境提供:玄机团队

本次应急响应及溯源环境来源于某次省级HVV机器环境,机器被RT从某端口拿下并植入了shell,本次环境已对当时主机进行脱敏处理,其中涉及RT关键信息以flag{xxx}进行提交

学习干货|某次省护的主机应急响应及溯源

注: 需要练习蓝队相关知识,应急响应,流量分析,shell查杀等

关注本公众号 州弟学安全 发送"邀请码"获取注册通道

PS: 因所有环境都采用了上云技术,每次开启环境都会开启一个裸机服务器,公益类型,资源紧张,所以邀请码有限,但邀请码后期会不定时通过各种形式进行下发,所有环境来源于: 全国各大赛、国护及省护、日常应急及个人制作,资源收集不易且珍惜,一直在更新!

学习干货|某次省护的主机应急响应及溯源

* 本次环境已进行脱敏处理、且已进行授权发布,文章仅供学习参考请勿进行违法传播使用,否则后果自行承担

0x02 题目展示

        日志分析-redis应急响应1.攻击者攻击成功的ip flag{127.0.0.1}2.攻击者第一次上传的恶意文件内敏感信息  flag{xxxxxxxx}3.攻击者反弹shell的ip flag{ip}4.攻击者的用户名和溯源分析后的flag flag格式 flag{攻击者的用户-关键字符串} 注关键字符串 xxx-xxx-xxx-flag5.攻击者篡改的命令 flag格式为:flag{一个md5字符串}

0x03 结果复现

问: 攻击者攻击成功的ip答: 192.168.100.20

学习干货|某次省护的主机应急响应及溯源

学习干货|某次省护的主机应急响应及溯源

问: 攻击者第一次上传的恶意文件内敏感信息答: XJ_78f012d7-42fc-49a8-8a8c-e74c87ea109b

学习干货|某次省护的主机应急响应及溯源

学习干货|某次省护的主机应急响应及溯源

问: 攻击者反弹shell的ip答: 192.168.100.13

学习干货|某次省护的主机应急响应及溯源

问: 黑客的用户名和溯源分析后的flag答: xj-test-user-wow-you-find-flag

学习干货|某次省护的主机应急响应及溯源

学习干货|某次省护的主机应急响应及溯源

学习干货|某次省护的主机应急响应及溯源

学习干货|某次省护的主机应急响应及溯源

问: 攻击者篡改的命令中敏感信息 答: c195i2923381905517d818e313792d196

学习干货|某次省护的主机应急响应及溯源

学习干货|某次省护的主机应急响应及溯源

0x03 总结

在当前环境中,我们是带着问题去找答案,比较容易,而在正常的应急中,是需要有很多的思路和运用技术去查杀,需要站在RT或攻击者的角度去考虑做了什么操作,可能在有些时候,系统会直接重做,安全无小事

学习干货|某次省护的主机应急响应及溯源

原文始发于微信公众号(州弟学安全):学习干货|某次省护的主机应急响应及溯源

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月10日09:20:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某次省护的主机应急响应及溯源https://cn-sec.com/archives/2278211.html

发表评论

匿名网友 填写信息