Bootstrap

知攻善防应急靶场-Linux(1)

前言:

堕落了三个月,现在因为被找实习而困扰,着实自己能力不足,从今天开始 每天沉淀一点点 ,准备秋招 加油

注意:

本文章参考qax的网络安全应急响应和知攻善防实验室靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误

靶场前言: 

前景需要:小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!!

靶场要求: 

1.攻击者IP地址
2.三个flag(flag格式flag{xxxxx})

过程 :

1.攻击者IP地址:

这个来说比较好找 方法很多

首先查看本机IP得到为 192.168.122.1

ifconfig

我们使用lastb指令进行查看用户登入错误的登入列表

lastb

可以发现 ip 192.168.85.129  进行多次ssh登入,我们再使用 cat /var/log/secure 指令可以记录大多数的账号密码 以及登入成功与否

cat /var/log/secure

发现该 192.168.75.129 成功登入本机 我们可以继续查看有没有其他的 ip进行登入

查询有哪些IP在爆破命令:

grep "Failed password" /var/log/secure |grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

发现只有这个IP

统计登录成功的IP有哪些?命令:

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

查询管理员最近登录情况命令 

 grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

 通过这些完全可以确定该攻击者IP就是 192.168.75.129

2.寻找flag

 我们知道该攻击者已经登入了root用户 ,我们可以在 root账户下排查是否有黑客执行的命令

cd /root
cat .bash_history 

我们发现了第一个flag,还发现了黑客编辑了开机启动文件rc.local,查看一下这个文件 

得到第二个flag 

 我们看看攻击者有没有新添什么uid=0的用户

cat /etc/passwd

最后一个用户是redis用户,说明该机器上存在redis服务 使用下面指令发现确实存在

那我们就可以查看redis的日志了

cat redis.log-20240324 

发现确实 192.168.75.129 成功进行登入,那结合之前的ssh爆破登入就可以得到该攻击者是通过写入ssh密钥进行登录,然后通过写入开机启动文件进行权限维持。 我们可以查看linux的敏感目录

 果然是这样的 ,通过redis未授权写入ssh密钥进行登录

那我们就可以检查命令文件是否被替换

rpm -Vf /usr/bin/*
rpm -Vf /usr/sbin/*
#rpm -Vf /usr/bin/xxx
#S 关键字代表文件大小发生了变化
#5 关键字代表文件的 md5 值发生了变化
#T 代表文件时间发生了变化

得到 /etc/redis.conf文件被修改了 我们访问得到第三个flag

提交 :

总结 :

1.该攻击者IP为 192.168.75.129

2.攻击获得root时间为3月 18日 20:23:07

3.攻击用户:root用户

4.攻击方式:通过redis未授权写入ssh密钥进行登录

5.攻击者编辑了开机启动文件/etc/rc.d/rc.local,并修改了 /etc/redis.conf ,但攻击者并没有留下后门

清除加固 :

1.封禁该IP 

2.redis服务端要以root权限运行

3.更改服务器ssh默认端口。

4.修复/etc/redis.conf文件和删除/etc/rc.d/rc.local文件

悦读

道可道,非常道;名可名,非常名。 无名,天地之始,有名,万物之母。 故常无欲,以观其妙,常有欲,以观其徼。 此两者,同出而异名,同谓之玄,玄之又玄,众妙之门。

;