拿到一个被黑客入侵过的靶机!需要找到黑客入侵的ip和三个flag
那就进行一次入侵排查吧!
检查账号
从影子文件看,应该只有两个用户,而且密码近期没有被修改过,所以应该没有新添加用户
这里看到root和wheel组都有特权,而我们发现wheel组中正好就是有defend用户,这说明它可以使用sudo充当root
而且root和defend都可以用来远程登录,所以黑客可能是使用root或者defend远程登录的
检查历史命令
我们检查一下用户的历史命令
首先检查root的
看到了第一个flag{thisismybaby} 并且看到编辑了/etc/rc.d/rc.local
这个是用来配置启动项的东西,看来黑客配置了启动项后门来权限维持 我们跟进看看有什么
发现了第二个flag{kfcvme50},而且这个启动项就是创建一个文件
并且我们查到了这个文件创建时间是在3月18日晚上8点左右,这大概说明了黑客入侵的时间
溯源
从历史记录看黑客是登录了root账户,创建了一个启动项,但是启动项只是创建空文件。没有多余的操作了,这条线索也就断了,我们得换个方向。得去想想黑客是如何登录root的?
那么我们就去看看日志,之前跟进黑客创建启动项文件时在3月18 20:24,这大概能定位黑客登录的时间
果然,我们在/var/log/secure找到了黑客的登录,是通过SSH公私钥匙的方式登录的
这样说明黑客的ip是192.168.75.129
而且从SSH公钥的创建时间看 私钥就是登陆之前不久创造的
这里又出现了一个新的问题,黑客既然不是弱口令爆破进来的,他是怎么上传SSH公钥的呢?
这个就说明他是通过其他协议或者服务上传的,在密钥文件中看到了redis,怀疑是redis未授权访问上传的公钥
我们去查看对应redis服务的日志
确实是发现了黑客连接的记号,说明黑客利用redis上传文件
而且发现很多链接记录,个人认为应该是作者在搭建靶场的时候测试的,因为服务不停的开关,开关,那么顺着这段时间找一找有哪些文件被创建或修改过的?
利用find找到一些时间范围内的文件
最后在redis.conf中找到了flag{P@ssW0rd_redis}
看下修改时间
黑客是在19:53修改的,看看对应日志有么有记录
果然找到了,这样一切就都说的通了!整个攻击流程大概如下:
- 未授权访问Redis,修改redis.conf文件留下flag1
- 通过Redis上传公钥文件后 利用SSH远程登录Root用户
- 在/etc/rc.d/rc.local下创建自启动脚本,并留下flag2
- 直接在shell命令行中打印出flag3
