玄机第二章日志分析-redis应急响应

玄机第二章日志分析-redis应急响应、

1、通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;

2、通过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交;

3、通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少,将反弹 shell 的IP 作为 FLAG 提交;

4、通过本地 PC SSH到服务器并且溯源分析黑客的用户名，并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交

5、通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交;

flag1：通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少

拷贝日志到本地细细看，可以看到版本号5.0.1，可利用redis漏洞有未授权访问，redis主从复制

日志不长，可以看到有sync，MASTER，slave和3个ip

这时我们很容易想到redis的主从复制漏洞利用

主从复制特征：当从机与主机连接时，从机通过发送SYNC或PSYNC命令请求与主节点同步数据，主机上会和从机进行一次完全同步数据，把快照发送给从机，等待从机加载完成后，再把缓存区的命令给从机执行，全量复制结束，当主机的数据进行修改，主机会把收集到的修改命令传给从机，完成同步

最终192.168.100.20最终连接master成功

具体分析链接

玄机——第二章日志分析-redis应急响应 wp-CSDN博客

flag2：通过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件

主从复制漏洞特征：从机连接主机进行同步加载远程模块.so文件，通过动态链接库的方式执行任意命令。

这里我们在日志中可以看到已加载exp.so模块

find / -name "exp.so"   

下载本地放云沙箱

放16位编译器中查找flag

flag3：通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少

redis漏洞利用方式之一写定时任务反弹shell，这里推荐用crontab -e在编辑器中查看，crontab -l可能会隐藏看不到

crontab -l
crontab -e

flag4：通过本地 PC SSH到服务器并且溯源分析黑客的用户名

题目提示ssh服务器，可以联想到redis漏洞利用方式之ssh免密登录，一般攻击者在通过信息收集拿下redis后，会进行持久化操作，在ssh配置文件写入公钥从而进行免密登录

这时我们查找/root/.ssh目录，这里用ls -al，一定要加-a，不然隐藏目录不显示

发现关键词 xj-test-user

到网上搜索

flag5、通过本地 PC SSH到服务器并且分析黑客篡改的命令

要查看Linux命令是否被篡改，可以按照以下步骤进行：

1. 使用 ls -l命令查看命令文件的属性和权限。在Linux系统中，命令文件通常位于/bin、/usr/bin或/sbin等目录下。确保这些目录下的命令文件具有root用户的所有权，并具有可执行权限（如-rwxr-xr-x）。
2. 使用 md5sum命令计算命令文件的校验和。每个命令文件都有一个唯一的校验和，可以用来验证文件的完整性。比较计算出的校验和和系统提供的原始校验和是否一致，如果不一致，则说明命令文件可能已被篡改。
3. 检查命令文件的修改时间。使用 ls -l –time=ctime命令可以查看文件的创建时间、修改时间和访问时间。如果命令文件的修改时间不是最近几天，但是系统管理员没有主动进行更新或安装操作，那么这可能是一个可疑的情况。
4. 使用 rpm -V命令验证系统安装的软件包是否完整。RPM包管理器可以生成软件包的校验和，并与已安装软件包进行比较。使用 rpm -V 命令可以验证特定软件包的完整性。
5. 监控系统日志来发现异常情况。查看/var/log目录下的日志文件，特别是auth.log和secure文件，以发现任何异常登录或系统权限变更的记录。

篡改命令重点查看像ps,top,whoami,ifconfig,ping,netstat,ls等等常用命令文件的权限，哈希值，修改时间

这个ps权限太高有异常，检查一下

攻击链总结

hacker先通过redis5.0版本主从复制漏洞执行rce，写入定时任务反弹连接，写入ssh公钥免密登录，劫持ps命令