应急响应靶机-Linux(1)
挑战内容
账户密码:defend/defend
Root/defend
- 黑客的IP地址
- 遗留下的三个flag
1、按正常思路来走,先登录一手因已经给出root账户密码,先查看一手执行过的命令,发现一个flag值并且看到他往期编辑了一个文件,咱们顺便进去看看
2、成功找到第二个flag
3、还剩一个flag一般都是藏在某一个文件里面,这个需要时间或者经验,咱们可以先进全局搜索,发现没有名称为flag的文件或者txt文件藏了flag的,所以猜测可能会藏在其他后缀的文件里面,一般linux比较常见的还有.conf\.d\.secrets或者是日志文件.log里面,咱们就一个个看,后在.conf中查找到
4、现在咱们就需要去查找黑客的ip地址了,按照惯例先看下日志,这时就有人会说了var/log里面这么多文件该难不成一个个看,一个个翻吗?这个有技巧的,都说了是ip地址一般的黑客ip要不是10开头要不是192什么什么开头,咱们直接开猜,或者是有什么标志性文件可以优先查看
有一说一10的东西怎么这么多后面搜索192查找到了,但是有时候也可能不是这两个可能是其他的不可能一个个的去搜索,这样会很费时间
5、那么咱们可以直接查找所有的ip类型的地址,有人就会说了怎么分辨哪个是黑客的ip地址呢,其实一般出现的最多的就是黑客的ip地址
,然后咱们就按照多少顺序去查看日志,以便确定黑客的ip地址如果是提交ip地址的话,可以一个个试错
