HW–应急响应靶机–Linux1

所有靶机均来自 知攻善防实验室

靶机整理：

• 夸克网盘：https://pan.quark.cn/s/4b6dffd0c51a#/list/share
• 百度云盘：https://pan.baidu.com/s/1NnrS5asrS1Pw6LUbexewuA?pwd=txmy

官方WP：https://mp.weixin.qq.com/s/opj5dJK7htdawkmLbsSJiQ

蓝队应急响应工具箱：

• 夸克网盘：https://pan.quark.cn/s/6d7856efd1d1#/list/share

• 百度云盘：https://pan.baidu.com/s/1ZyrDPH6Ji88w9IJMoFpANA?pwd=ilzn

前景需要：小王急匆匆地找到小张，小王说"李哥，我dev服务器被黑了",快救救我！！挑战内容：黑客的IP地址
遗留下的三个flag注意：
该靶机有很多非预期解，做靶机是给自己做，请大家合理按照预期解进行探索。

解题关键点

命令历史记录：history

Linux开机自启文件：/etc/rc.d/rc.local

Redis配置文件：/etc/redis.conf

Redis日志文件：/var/log/redis/redis.log

虚拟机登录

账号：defend

密码：defend

可在桌面看到题解

题解提示需获取的内容

1.攻击者IP地址

2.三个flag(flag格式flag{xxxxx})

flag1

defend用户查看历史命令发现没有线索，怀疑是否需要提权至root

发现defend有sudo权限

尝试提权至root，发现成功登录root账户

查看历史命令，发现flag1，同时发现启动项文件疑似被修改过

flag{thisismybaby}

flag2

查看开机启动项文件，发现flag2

flag{kfcvme50}

flag3

翻了一圈发现了Redis，查看了Redis配置文件，发现flag3

flag{P@ssW0rd_redis}

攻击者IP地址

查看Redis日志文件等级为 verbose 日志比较详细

查看Redis文件日志中连接成功的IP，找到IP地址 192.168.75.129

最后将获取的信息提交题解系统即可，成功通关

#通关Payload192.168.75.129
flag{thisismybaby}
flag{kfcvme50}
flag{P@ssW0rd_redis}