Hvv--知攻善防应急响应靶机--Linux1
HW–应急响应靶机–Linux1
所有靶机均来自
知攻善防实验室靶机整理:
- 夸克网盘:https://pan.quark.cn/s/4b6dffd0c51a#/list/share
- 百度云盘:https://pan.baidu.com/s/1NnrS5asrS1Pw6LUbexewuA?pwd=txmy
官方WP:https://mp.weixin.qq.com/s/opj5dJK7htdawkmLbsSJiQ
蓝队应急响应工具箱:
夸克网盘:https://pan.quark.cn/s/6d7856efd1d1#/list/share
百度云盘:https://pan.baidu.com/s/1ZyrDPH6Ji88w9IJMoFpANA?pwd=ilzn
前景需要:小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!!挑战内容:黑客的IP地址
遗留下的三个flag注意:
该靶机有很多非预期解,做靶机是给自己做,请大家合理按照预期解进行探索。
解题关键点
命令历史记录:
historyLinux开机自启文件:
/etc/rc.d/rc.localRedis配置文件:
/etc/redis.confRedis日志文件:
/var/log/redis/redis.log
虚拟机登录
账号:defend
密码:defend
可在桌面看到题解
题解提示需获取的内容
1.攻击者IP地址
2.三个flag(flag格式flag{xxxxx})
flag1
defend用户查看历史命令发现没有线索,怀疑是否需要提权至root
发现defend有sudo权限
尝试提权至root,发现成功登录root账户
查看历史命令,发现flag1,同时发现启动项文件疑似被修改过
flag{thisismybaby}
flag2
查看开机启动项文件,发现flag2
flag{kfcvme50}
flag3
翻了一圈发现了Redis,查看了Redis配置文件,发现flag3
flag{P@ssW0rd_redis}
攻击者IP地址
查看Redis日志文件等级为 verbose 日志比较详细
查看Redis文件日志中连接成功的IP,找到IP地址 192.168.75.129
最后将获取的信息提交题解系统即可,成功通关
#通关Payload192.168.75.129
flag{thisismybaby}
flag{kfcvme50}
flag{P@ssW0rd_redis}
