当前位置: 首页 > news >正文

第二章日志分析-redis应急响应

第二章日志分析-redis应急响应

1、通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;

ssh去到/var/log下面这里题目提示我们是redis我们打开redis.log

cat redis.log| less -N

image-20251017173642887

可以看到这个前面几个ip大量发送请求并且被服务端拒绝,从这里开始就成功链接上了

flag{192.168.100.20}

2、过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交;

继续分析日志,在这里发现一个可以文件

image-20251017155117172

使用find 命令查找这个文件

find / -name 'exp.so'

image-20251017155534760

在根目录找到了这个文件,用strings提出里面的flag

image-20251017155524414

flag{XJ_78f012d7-42fc-49a8-8a8c-e74c87ea109b}

3、通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少,将反弹 shell 的IP 作为 FLAG 提交;

可以从系统日志/var/log/syslog.1 发现。

/var/log/syslog 是系统日志(system logger)当前文件,记录系统级事件(内核消息、服务启动/停止、cron、网络事件、很多守护进程信息等)。

image-20251017172113347

这里记录了很多反连接操作 并且从crontab -l 也能看出

image-20251017172210862

flag{192.168.100.20}

4、通过本地 PC SSH到服务器并且溯源分析黑客的用户名,并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交

SSH提供两种登录验证方式,一种是口令验证也就是账号密码登录,另一种是密钥验证。当redis以root身份运行,可以给root账户写入ssh公钥权限,直接通过ssh登录服务器,在攻击机中申生成ssh公钥和私钥,密码设为空

这里我们去.ssh目录中会存在authorized_keys

image-20251017172812130

可以看到在文件的末尾留下来了用户名 xj-test-user去浏览器搜一搜看一下跳出来一个github网址

https://github.com/xj-test-user/redis-rogue-getshell

image-20251017172914041

flag{xj-test-user-wow-you-find-flag} 

5、通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交;

这里我们去 /usr/bin

/usr/bin 是 Linux 系统中放置大多数用户命令(可执行程序)的目录之一;这些程序通常在普通用户的 PATH 中,直接运行命令时会优先在这些目录查找。

攻击者常利用被替换或新增的二进制文件来持久化后门、拦截/记录凭证、反弹 shell 或隐藏恶意行为。把恶意程序放在 /usr/bin 能让它像系统命令一样被执行(例如替换 ssh, bash, ls, sudo 等)。

许多自动化脚本或服务也会直接调用 /usr/bin/xxx,因此放后门在这里更容易被触发。

即便攻击者放在 /tmp/dev/shm 等目录,常会再在 /usr/bin 做软链接或替换常用命令以便长期存在与方便调用。

ls -al 发现异常,出现了两个ps很明显这是黑客弄的·

image-20251017172409084

cat ps

image-20251017172601267

flag{c195i2923381905517d818e313792d196}
http://www.hskmm.com/?act=detail&tid=33292

相关文章:

  • 第一章 应急响应- Linux入侵排查
  • 浏览器多开的方法
  • 10月17号
  • 19. 删除链表的倒数第 N 个结点
  • Day13
  • 第一章日志分析-mysql应急响
  • 操作系统应用构建(十二)RustDesk 用户服务器搭建——东方仙盟筑基期
  • python-IDLE定制界面大小
  • 高级语言程序设计第1次作业
  • Maui:通过附加属性将命令绑定到事件
  • 超好用的浏览器多开小工具!轻松管理多个账号,可以无限制使用其他插件
  • 微服务组件-Eureka 科技详解
  • 新学期每日总结(第10天)
  • List.subList() 返回值为什么不能强转成 ArrayList
  • 奶奶都能看懂的 C++ —— 手把手指针
  • 10/17
  • CSP-2024 T4
  • 02-类与对象课后作业
  • NOIP2021 T2
  • 从零开始实现简易版Netty(九) MyNetty 实现池化内存的线程本地缓存
  • 杏帘招客饮,在望有山庄。
  • 洛谷 P8512
  • 从libtorch_cuda.so中提取某个函数的sass汇编指令
  • 【题解】成外友谊赛
  • 小程序商城客服系统
  • ubuntu 主机创建虚拟 ip,应对容器内部配置了宿主固定 ip,宿主迁移网络环境后容器报错
  • 2025权威报告:微信编辑器排版Top 10工具推荐(全链路解决方案)
  • 洛谷 P10149
  • 从0到1构建企业数据资产 - 智慧园区
  • 2025.10.17