目录
一、测试环境
二、测试目的
三、操作过程
Flag1
Flag2
Flag3
Flag4
Flag5
四、结论
一、测试环境
靶场介绍:国内厂商设置的玄机靶场,以应急响应题目著名。
地址:https://xj.edisec.net/challenges/22
靶机IP:69.230.236.23
环境ssh登录:root/xjredis
靶机简介:
二、测试目的
上机排查,进行应急响应,完成靶场题目要求。
三、操作过程
Flag1
查看redis日志文件:/var/log/redis.log
在日志中找到主从复制特征,黑客使用主从复制攻击了该服务器,连接的服务器IP就是黑客IP:192.168.100.20
Flag1:flag{192.168.100.20}
Flag2
在redis日志中,看到上传的恶意文件的名字:exp.so
在靶机找到该文件
下载到本地,逆向分析。打开后,Alt + T搜索flag即可找到该字符串
Flag2:flag{XJ_78f012d7-42fc-49a8-8a8c-e74c87ea109b}
Flag3
查看定时任务可以发现反弹shell得到命令,IP:192.168.100.13
Flag3:flag{192.168.100.13}
Flag4
黑客修改ssh登录的密钥的话,公钥的用户名很可能就是黑客的用户。查看公钥找到用户名,是flag的上半段
在GitHub上可以找到该用户,并且该用户的项目中有一个redis主从复制利用工具
https://github.com/xj-test-user
查看redis主从复制利用工具的项目,查看历史提交
成功找到隐藏字符串,找到flag的后半段
Flag4:flag{xj-test-user-wow-you-find-flag}
Flag5
逐个查看环境变量的路径地址下的命令
在/usr/bin中找到了两个ps命令
查看ps命令的内容,找到了flag字符串
Flag5:flag{c195i2923381905517d818e313792d196}
四、结论
熟悉了redis的日志内容,丰富应急响应排查的思路。