前景需要:小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!!
挑战内容:
黑客的IP地址
遗留下的三个flag
相关账户密码:
defend/defend
root/defend
查找特殊用户
没有找到异常用户,可能存在redis服务
cat /etc/passwd | awk -F : '{if($3==0||$3>=500){print}}'
查找历史命令
第一个 flag{thisismybaby}
查看启动项
历史命令中的启动项:发现第二个flag{kfcvme50}
/etc/init.d/rc.local
/etc/rc.local
/etc/rc.d/rc0.d
/etc/rc.d/rc1.d
/etc/rc.d/rc2.d
.........
查看网络行为
netstat -antop
计划任务
crontab -l
cat /var/spool/cron/*
cat /etc/crontab
cat /etc/cron.d/*
cat /etc/cron.daiy/*
cat /etc/cron.weekly/*
cat /etc/cron.monthly/*
日志分析
查询redis的日志
cat /var/log/redis
redis 写入密钥
补充
第三个flag在redis的配置文件中
more /etc/redis.conf
查看redis日志文件等级
cat /etc/redis.conf | grep loglevel
看一下连接日志
cat /var/log/redis/redis.log | grep Acc