玄机———第二章 日志分析-redis应急响应
玄机———第二章 日志分析-redis应急响应
目录
- 玄机———第二章 日志分析-redis应急响应
- 一、通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交
- 二、通过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交
- 三、通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少,将反弹 shell 的IP 作为 FLAG 提交
- 四、通过本地 PC SSH到服务器并且溯源分析黑客的用户名,并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交
- 五、通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交
简介:
服务器场景操作系统 Linux
服务器账号密码 root xjredis任务环境说明
注:样本请勿在本地运行!!!样本请勿在本地运行!!!样本请勿在本地运行!!!
应急响应工程师小王某人收到安全设备告警服务器被植入恶意文件,请上机排查
一、通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交
进入/var/log/redis.log目录,查看日志文件
vim /var/log/redis.log
通过日志分析后,发现是基于redis主从复制的rce攻击:
尝试将自己设置为主服务器192.168.100.13:8888的从服务器,但是失败。
尝试将自己设置为主服务器192.168.31.55:8888的从服务器,尝试将自己设置为主服务器192.168.100.20:8888的从服务器,但是失败。
再次尝试将自己设置为主服务器192.168.100.20:8888的从服务器,主从同步成功!
因此,黑客攻击成功的IP为192.168.100.20,flag{192.168.100.20}。
二、通过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交
通过日志分析,发现上传在根目录下上传了恶意文件exp.so。
打开exp.so,然后检索flag:
flag{XJ_78f012d7-42fc-49a8-8a8c-e74c87ea109b}
三、通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少,将反弹 shell 的IP 作为 FLAG 提交
让我们寻找反弹shell的IP,我们可以查看黑客是否写入计划任务反弹shell:
crontab -l
发现计划任务:每分钟向IP:192.168.100.13弹一次反弹 Shell
flag{192.168.100.13}
四、通过本地 PC SSH到服务器并且溯源分析黑客的用户名,并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交
让我们找到黑客的用户名,可以联想到黑客将ssh公钥上传至服务端达到免密登录的目的。
进入/root/.ssh目录,打开authorized_keys文件,得到用户名:xj-test-user
将改用户名放入github搜索,得到redis主从复制利用工具redis-rogue-getshell:
flag{xj-test-user-wow-you-find-flag}
五、通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交
大多数Linux命令都是编译后的二进制可执行文件,因此我们可以查看查找可执行文件存放目录:
echo $PATH
依次到/usr/local/sbin,/usr/local/bin,/usr/sbin,/usr/bin,/sbin,/bin路径下,按照时间顺序查看最新的文件,发现可疑文件文件ps
cat /bin/ps
flag{c195i2923381905517d818e313792d196}