0x01 前言
本次环境提供:玄机团队
本次应急响应及溯源环境来源于某次省级HVV机器环境,机器被RT从某端口拿下并植入了shell,本次环境已对当时主机进行脱敏处理,其中涉及RT关键信息以flag{xxx}进行提交
注: 需要练习蓝队相关知识,应急响应,流量分析,shell查杀等
关注本公众号 州弟学安全 发送"邀请码"获取注册通道PS: 因所有环境都采用了上云技术,每次开启环境都会开启一个裸机服务器,公益类型,资源紧张,所以邀请码有限,但邀请码后期会不定时通过各种形式进行下发,所有环境来源于: 全国各大赛、国护及省护、日常应急及个人制作,资源收集不易且珍惜,一直在更新!
* 本次环境已进行脱敏处理、且已进行授权发布,文章仅供学习参考请勿进行违法传播使用,否则后果自行承担
0x02 题目展示
日志分析-redis应急响应1.攻击者攻击成功的ip flag{127.0.0.1}2.攻击者第一次上传的恶意文件内敏感信息 flag{xxxxxxxx}3.攻击者反弹shell的ip flag{ip}4.攻击者的用户名和溯源分析后的flag flag格式 flag{攻击者的用户-关键字符串} 注关键字符串 xxx-xxx-xxx-flag5.攻击者篡改的命令 flag格式为:flag{一个md5字符串}
问: 攻击者攻击成功的ip答: 192.168.100.20
问: 攻击者第一次上传的恶意文件内敏感信息答: XJ_78f012d7-42fc-49a8-8a8c-e74c87ea109b
问: 攻击者反弹shell的ip答: 192.168.100.13
问: 黑客的用户名和溯源分析后的flag答: xj-test-user-wow-you-find-flag
问: 攻击者篡改的命令中敏感信息答: c195i2923381905517d818e313792d196
0x03 总结
在当前环境中,我们是带着问题去找答案,比较容易,而在正常的应急中,是需要有很多的思路和运用技术去查杀,需要站在RT或攻击者的角度去考虑做了什么操作,可能在有些时候,系统会直接重做,安全无小事
原文始发于微信公众号(州弟学安全):学习干货|某次省护的主机应急响应及溯源
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论