【应急响应】记一次dev服务器被黑的应急响应过程

admin 2024年10月23日19:53:29评论19 views字数 721阅读2分24秒阅读模式

记一次dev服务器被黑的应急响应过程

小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!!

挑战内容:

1.黑客的IP地址

2.遗留下的三个flag

靶场获取地址:

下载地址

https://pan.quark.cn/s/4b6dffd0c51a

解压后直接用Vmware打开即可

相关账户密码:

defend/defend

root/defend

【应急响应】记一次dev服务器被黑的应急响应过程

蓝队工具箱获取地址:

Github地址:

https://github.com/ChinaRan0/BlueTeamTools

蓝队工具箱v2024.7

https://pan.quark.cn/s/6d7856efd1d1

【应急响应】记一次dev服务器被黑的应急响应过程

【应急响应】记一次dev服务器被黑的应急响应过程

1.黑客的IP地址

直接上火麒麟

https://github.com/MountCloud/FireKylin

直接上LinuxCheck脚本

https://github.com/al0ne/LinuxCheck

【应急响应】记一次dev服务器被黑的应急响应过程

【应急响应】记一次dev服务器被黑的应急响应过程

【应急响应】记一次dev服务器被黑的应急响应过程

【应急响应】记一次dev服务器被黑的应急响应过程

黑客暴力破解的IP:192.168.75.129

看一眼,redis日志文件等级

cat /etc/redis.conf | grep loglevel

【应急响应】记一次dev服务器被黑的应急响应过程

发现为verbose,直接去找redis日志文件

看一下连接日志

cat /var/log/redis/redis.log | grep Accept

【应急响应】记一次dev服务器被黑的应急响应过程

黑客Redis连接的IP还是192.168.75.129

黑客ip:192.168.75.129

2.遗留下的三个flag

【应急响应】记一次dev服务器被黑的应急响应过程

falg1:flag{thisismybaby}

【应急响应】记一次dev服务器被黑的应急响应过程

【应急响应】记一次dev服务器被黑的应急响应过程

【应急响应】记一次dev服务器被黑的应急响应过程

falg2flag{kfcvme50}

【应急响应】记一次dev服务器被黑的应急响应过程

【应急响应】记一次dev服务器被黑的应急响应过程

查看redis配置文件

/etc/redis.conf

【应急响应】记一次dev服务器被黑的应急响应过程

falg3flag{P@ssW0rd_redis}

原文始发于微信公众号(利刃信安):【应急响应】记一次dev服务器被黑的应急响应过程

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月23日19:53:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【应急响应】记一次dev服务器被黑的应急响应过程https://cn-sec.com/archives/3306645.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息