玄机-应急响应-vulntarget-k-03

应急响应-vulntarget-k-03

emmmm,这个linux应急响应难度偏中，前两个flag不好搞，后面两个一下就出来了，技术还是不行，还请大佬们多多指教

题目简介

服务器场景操作系统 Linux
服务器账号密码 root 12ktEcHA
题目来源公众号  vulntarget
https://mp.weixin.qq.com/s/LHq8O2F-r6rbhVW84Q4KEg
任务环境说明
    注：样本请勿在本地运行！！！样本请勿在本地运行！！！样本请勿在本地运行！！！
    请根据vulntarget 1  vulntarget2 vulntarget3 的顺序进行打靶，修复等操作
    应急响应工程师小王某人收到安全设备告警服务器被植入恶意文件，请上机排查
开放题目
    漏洞修复
参考
https://mp.weixin.qq.com/s/LHq8O2F-r6rbhVW84Q4KEg

步骤一
通过本地 PC SSH到服务器并且找到黑客最后攻击的时间,将黑客最后攻击的时间作为 FLAG 提交(flag{432:M 18 Mar 2022 13:02:01.254});

步骤二
通过本地 PC SSH到服务器并且找到黑客ID 为多少,将黑客ID 作为 FLAG 提交;

步骤三
通过本地 PC SSH到服务器并且找到黑客绕过防火墙检测所使用工具的 KEY,将找到的 KEY 作为 FLAG 提交;

步骤四
通过本地 PC SSH到服务器并且找到黑客绕过防火墙检测所使用工具反弹 Shell 的 ip,将找到对应的 IP 作为 FLAG 提交;

&1

我们常规看一下history，发现还真有东西，在opt下面隐藏了一个a文件夹

好奇心驱使我们去看看下面有什么东西）））

查看readme.md发现是一个后门程序，是可以弹shell的，仔细查看这里有他的用法，p4ssw0rd是可以改变设定的密码

我们追溯到start.sh去看看,发现连接密码和攻击者IP

这里就直接可以提交两个flag了

&2

我们看步骤一，从/var/log的日志下手，发现仅有redis.log的日志时间格式是符合题目的时间格式

我们猜测攻击者可能是从redis攻击入手，我们再去寻找有力证据，我们查看/root/.viminfo发现，曾经修改过/etc/redis/redis.conf文件

进入/root/.ssh查看authorized_keys发现嘿客用户名 penguin

这个文件的最后修改日期在2024年3月18日，作为嘿客最后入侵的日期参考

我们去/var/spool/cron查看计划任务，发现有以redis创建的反弹shell的计划任务

查看redis的配置文件发现密码没有被注释

最后我们结合.ssh修改日期在2024年3月18日和redis.log的日期，定位到这一天日志里DB loaded from disk时间就是嘿客攻击时间

到此结束（

---

• 分类： 应急响应
• 标签： ctf web wp writeup