咸鱼社

SfTian

知攻善防hvv模拟靶机Linux1

# Linux1靶机 ## 情况描述 小王急匆匆地找到小张，小王说"李哥，我dev服务器被黑了",快救救我！！ ## 通关条件 1. 黑客的IP 2. 遗留下的三个flag ## 服务器环境 CentOS7 defend/defend root/defend ## 解题思路 ### 观察环境 进入Linux第一步 `defend和root` 用户先用history搜索一下执行了什么命令，在root中可以看到执行有 `echo flag{thisismybaby}` 字段，因为挂查到 `/etc/rc.d/rc.local` 被改动，打开查看文件查看内容 > rc.local是Linux开机时应用自启的一个配置文件，该文件默认没有执行权限 打开即可看到第二个flag `flag{kfcvme50}` ### 查找服务 因为在 `rc.local` 中找不到其他内容，于是用 `systemctl` 和 `cat /etc/` 查看是否还有其他线索，在etc文件夹中有redis.conf，那么大概率攻击者是从redis展开攻击的，先查看redis.conf，打开即可获得最后一个flag ### 分析Redis Log `nano /var/log/redis/redis.log` 打开查看，可以看到有log记录 ```text 11595:M 18 Mar 19:39:34.052 - Accepted 192.168.75.129:57672 11595:M 18 Mar 19:39:37.202 - DB 0: 1 keys (0 volatile) in 4 slots HT. 11595:M 18 Mar 19:39:37.202 - 1 clients connected (0 slaves), 776384 bytes in u$ 11595:M 18 Mar 19:39:42.334 - DB 0: 1 keys (0 volatile) in 4 slots HT. 11595:M 18 Mar 19:39:42.334 - 1 clients connected (0 slaves), 776392 bytes in u$ 11595:M 18 Mar 19:39:47.753 - DB 0: 1 keys (0 volatile) in 4 slots HT. ``` 可以确定攻击者IP ## 答案 1. flag1 `flag{thisismybaby}` 2. flag2 `flag{kfcvme50}` 3. flag3 `flag{P@ssW0rd_redis}` 4. 攻击者IP `192.168.75.129`  ## 复盘 ### Redis对外绑定IP且没有设置密码

取消回复

发表新评论

提交评论