第二章-日志分析-Redis应急响应
N1Rvana included in 应急响应0x00 靶机信息
|
|
0x01
1、通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;
查看日志
在/var/log下存在redis.log文件
192.168.100.20进行了主从复制加载了exp.so文件
2、通过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交;
通过上面得到了恶意文件名exp.so,利用find进行查找,
find / -name "exp.so",查找到在根目录下载下来
flag{XJ_78f012d7-42fc-49a8-8a8c-e74c87ea109b}
3、通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少,将反弹 shell 的IP 作为 FLAG 提交;
crontab -l查看定时任务
4、通过本地 PC SSH到服务器并且溯源分析黑客的用户名,并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交
find / -name "authorized_keys"
在ssh里面发现用户
xj-test-user
到github上面搜索一下这个用户
在里面发现了redis-rogue-getshell工具
看一下历史版本,发现关键字
flag{xj-test-user-wow-you-find-flag}
5、通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交;
命令替换,查看一下/usr/bin
ls -al /usr/bin
发现了ps和ps_,直接打开查看一下
flag{c195i2923381905517d818e313792d196}