玄机靶场 - 第二章 日志分析-redis应急响应

已于 2024-08-13 11:25:57 修改
阅读量1k 收藏 24
点赞数 13
分类专栏: # 应急靶场 靶场练习 文章标签: redis 数据库 网络安全 linux
于 2024-08-13 11:22:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fishfishfishman/article/details/141159363
版权

应急响应工程师小王某人收到安全设备告警服务器被植入恶意文件,请上机排查

题目地址:第二章 日志分析-redis应急响应 · 玄机 - EDISEC

本次靶场要求提供的flag如下:

  1. 通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;
  2. 通过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交;
  3. 通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少,将反弹 shell 的IP 作为 FLAG 提交;
  4. 通过本地 PC SSH到服务器并且溯源分析黑客的用户名,并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交
  5. 通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交;

redis排查常用指令:

info						# 获取系统运行信息
keys *						# 查看所有的KEY
get <keyname>				# 根据KEY名获取对应值
config get *				# 获取所有的配置信息
config get dir				# 获取路径
config get dbfilename		# 获取保存的数据库文件名

Flag1

通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;

查看网络发现开放了6379端口

image.png

并且题干提示是redis应急响应,盲猜是因为redis设置了空口令导致服务器被入侵,这里直接空口令连接本地redis服务器

查看Key发现是空的,要么是使用的主从复制方式攻击,要么是攻击后清空了key,获取存储路径可以看到是在/根目录

image.png

redis客户端无从下手就查看redis日志,如果不清楚日志文件在哪可以通过下面的指令获取

config get logfile

image.png

在日志文件中首先可以看到第一个可疑地址192.168.100.13,存在大量连接失败的日志,可能是在爆破,但是这个IP地址并没有成功建立连接的日志,后门应该不是他上传的

image.png

紧随上面这个IP后面的是另一个IP地址192.168.100.20,这个IP地址存在成功建立连接的日志,对日志进行分析,可以看到有建立主从复制的ID加载exp.so文件模块并进行持久化保存,疑似使用redis主从复制进行攻击,exp.so文件也常用于redis主从复制攻击

image.png

将这个IP作为flag进行提交,提示正确

flag{192.168.100.20}

Flag2

通过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交;

前面通过获取dir知道了数据保存路径是在根目录,那么便去根目录看下有没有什么异常文件

通过查看文件列表可以发现我们前面在日志文件中看到的exp.so文件

ls -al

image.png

将这个文件下载到本地,用16进制打开,在文本中可以找到flag

flag{XJ_78f012d7-42fc-49a8-8a8c-e74c87ea109b}

image.png

Flag3

通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少,将反弹 shell 的IP 作为 FLAG 提交;

查看计划任务可以看到有一条反弹shell的指令

crontab -e

image.png

得到反弹shell的IP

flag{192.168.100.13}

Flag4

通过本地 PC SSH到服务器并且溯源分析黑客的用户名,并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交

排查ssh密钥,获取到用户名xj-test-user

image.png

按照溯源思路就是去网上社工搜索这个用户昵称了,在github中可以搜到这个用户名,仓库中只有一款redis-rouge-getshell的工具,查看仓库代码可以看到redis-master.py有提交过分支

image.png

点击该分支查看源码,在注释中得到关键字wow-you-find-flag

image.png

然后根据题目提示将黑客用户名和关键字拼接成flag

flag{xj-test-user-wow-you-find-flag}

Flag5

通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交;

linux命令文件存放在/usr/bin中,查看目录文件可以看到有两个ps指令

ls -alt /usr/bin/

image.png

image.png

flag{c195i2923381905517d818e313792d196}
白帽阿尔法
关注
专栏目录
redis-stack-server 7.2.0 安装包合集
04-03
redis-stack-server-7.2.0-v9.arm64.snap redis-stack-server-7.2.0-v9.bionic.arm64.tar.gz redis-stack-server-7.2.0-v9.bionic.x86_64.tar.gz redis-stack-server-7.2.0-v9.bullseye.x86_64.tar.gz redis-stack-...
应急响应——靶场实践
热门推荐
weixin_46601374的博客
04-21 1万+
唉,我可算直到值守每天12小时看警报是多么怨种的一工作,本以为该结束了,结果又加了一天!!!! 还好我没放弃自己,一直在自学东西(也不是我愿意的,这也不是没有办法嘛,大家都太卷了) 那就自学了学应急响应。不得不说,大佬们是真好呀,我才在日报里说我刚过完应急响应的知识,梳理出流程,就有大佬给我发来了——三个靶场,够我挺过这难熬的两天了。 嘿嘿不能辜负大佬的期望,咱就好好表现吧 目录 先搭个靶场 应急响应的过程 排查网络连接 排查历史命令 排查后门账户 查看特权账户 ...
玄机第二章日志分析-redis应急响应
weixin_46148739的博客
08-20 586
4、通过本地 PC SSH到服务器并且溯源分析黑客的用户名,并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交。这个脚本替换了原本的ps命令,用户输入ps命令,会调用ps_,正常显示进程,并且过滤掉包含threadd字符串的行。5、通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交;注:样本请勿在本地运行!样本请勿在本地运行!样本请勿在本地运行!
玄机靶场应急响应第一章webshell查杀WP
qq_46343633的博客
06-04 1706
靶机账号密码 root xjwebshell1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}2.黑客使用的什么工具的shell github地址的md5 flag{md5}3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx4.黑客免杀马完整路径 md5 flag{md5}
玄机靶场 第一章 应急响应- Linux入侵排查
qq_46343633的博客
06-04 1307
1.web目录存在木马,请找到木马的密码提交2.服务器疑似存在不死马,请找到不死马的密码提交3.不死马是通过哪个文件生成的,请提交文件名4.黑客留下了木马文件,请找出黑客的服务器ip提交5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交。
玄机靶场 - 第二章 日志分析-mysql应急响应
fishfishfishman的博客
08-15 455
黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx。插件,该插件通常用于MySQL的UDF提权,可以判断黑客使用的也正是UDF提权。导出日志文件,可以看到请求参数里面有很多SQL语句,可以判断是SQL注入攻击。在日志的最后,可以看到用恶意函数执行了一段Base64加密的代码。,后者查看内容是黑客创建提权后门,这样就获取到了完整提权文件路径。就是黑客上传的Webshell,里面的内容是一句话木马。由于黑客使用的是插件提权,我们找到数据库的插件目录。
redis-manager:laravel-admin的Redis Manager
04-30
laravel-admin的Redis Manager截屏安装$ composer require laravel-admin-ext/redis-manager$ php artisan admin:import redis-manager在浏览器中打开http://your-host/admin/redis 。执照根据。
redis_rate:go-redis的速率限制
05-13
go-redis的速率限制 :red_heart: 该软件包基于并实现了基于Redis的速率限制的 (又名泄漏桶)。 该代码需要Redis 3.2或更高版本,因为它依赖于功能。安装redis_rate支持2个最新的Go版本,并且需要具有支持的Go版本。...
docker-redis-cluster:一个 Redis 集群 Docker 镜像
05-29
docker-redis-cluster Redis 集群 Docker 映像。 此图像用于测试环境。 请勿将其用于生产。用法启动集群。 它将启动 6 个 Redis 服务器,监听7000~7005端口和一个主管以确保所有服务器都启动。 在所有服务器启动后,...
redis++使用说明,windows下编译redis-plus-plus
06-13
"Redis++使用说明,windows下编译Redis-Plus-Plus" 在这篇文章中,我们将详细介绍如何在Windows平台下编译Redis++,包括编译hiredis.lib和Win32_Interop.lib静态库文件的过程,然后安装Cmake并编译Redis++,最后...
玄机】-----应急响应
m0_63138919的博客
05-13 4144
玄机应急响应 题解 一起学习
Redis】之Geo
weixin_73060900的博客
09-16 187
对Geo的基本命令和Spring命令的概述,并且进行简单举例
Redis
fxbsdl的博客
09-16 381
redis是一个的,将数据存储到中,的存储数据的一款可以用来当作1、(秒杀的商品数量信息),3、(如:俩个Java项目连接一个redis)1、可以将数据存储在内存中,也可以将数据持久化到硬盘上2、性能高,redis能读的速度是110000次/秒,写的速度是80000次/秒3、提供了丰富的数据结构存储数据为什么使用redis?大量用户连接数据库数据库就会出现瓶颈(连接数量太多,io时间长)为了减轻数据库的压力,有些数据就直接存储到redis中,从而实现对关系型数据库的保护。redis安装。
Redis搭建集群
前人栽树,后人乘凉。
09-11 1321
Redis Cluster是Redis的自带的官方分布式解决方案,提供数据分片、高可用功能,在3.0版本正式推出。使用Redis Cluster能解决负载均衡的问题,内部采用哈希分片规则:基础架构图如下所示:图中最大的虚线部分为一个Cluster集群,由6个Redis实例组成。
使用Redis实现用户关注博客的推模式
最新发布
weixin_65950986的博客
09-16 171
推送之前先查到当前发布博客用户的粉丝有哪些,然后去循环挨个推送。这里采用redis的zset结构,将键设置为。直接诶是从订阅的zset中获取。
Redis:缓存击穿
qq_62786439的博客
09-11 446
互斥锁实现方式:redis中setnx key value:改变对应key的value,仅当value不存在时执行,以此来实现互斥锁,防止出现锁得不到释放,设置有效期。线程一:未命中之后,获取互斥锁,再查询数据库重建缓存,写入缓存,释放锁。线程二:查询未命中,未获得锁(已由线程一获得),等待一会,缓存命中。线程二:查询未命中,未获得锁(已由线程一获得),返回过期数据。线程一:查询缓存,逻辑已过期,获取互斥锁,开启。:查询数据库并重建缓存,重置逻辑过期时间,释放锁。实现互斥锁相关的方法。
Redis 的数据持久化
ミカミミミ博客
09-11 735
Redis 的数据持久化的两种策略(AOF 和 RDB)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值