Linux应急响应——知攻善防应急靶场

原创

已于 2025-01-24 00:58:21 修改 · 1.4k 阅读

23 ·

CC 4.0 BY-SA版权

文章标签：

#linux #运维 #服务器 #网络安全 #web安全 #网络攻击模型

于 2025-01-24 00:55:48 首次发布

前言

最近在学应急，刚好看到知攻善防实验室出品的应急响应靶场，这里记录一下自己的题解过程。

"应急响应靶机训练，我们致力于确保每位安服人员都能亲身实践，摆脱纯理论的束缚，通过丰富的动手操作积累实战经验，让训练既充实又富有成效，实现技能与体验的双重美化。"

Linux应急响应靶机-1

1、挑战内容

前景需要：小王急匆匆地找到小张，小王说"李哥，我dev服务器被黑了",快救救我！！

挑战内容：

黑客的IP地址

遗留下的三个flag

说明账号密码

defend/defend

root/defend

2、关于靶机启动

关于靶机启动解压后直接用Vmware打开即可。

3、关于解题

桌面内上解题文件夹，运行"./题解Script.sh"即可

请注意，此靶机设计包含多种非预设的解决路径，建议大家在练习应急响应技能时，采取合理且全面的方法，以充分锻炼和提升自身能力。

1.首先是黑客的IP地址，直接查看网络连接看一下：命令：netstat -ano

发现没有可疑ip。

2.看看所有用户的登录时间：命令:

lastb

猜测这个就是黑客的IP地址：192.168.75.129

注：这里使用管理员用户权限进行查看命令：sudo -i

方法二、查看一下日志命令：

cat /var/log/redis/redis.log | grep Acc

3;查看历史命令：

history

在这里发现第一个flag：flag{thisismybaby}

4.一项一项排查，排查一下开机启动项：/etc/rc.d/rc.local

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

信仰安全

关注关注

28
点赞
踩
23

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

应急响应入门-bugku靶场

2301_80284843的博客

03-11

1476

进入组策略编辑器,依次点击"计算机配置——Windows设置——安全设置—密码和账号锁定策略—密码策略"。将最小值改为10即可。进入组策略编辑器,依次点击"计算机配置——Windows设置——安全设置—密码和账号锁定策略—密码策略"。（其实执行的就可以发现有点问题，正常ls命令执行的时候一行有好几个文件和文件名，这个冒牌货ls执行的时候，每一个文件和文件名都占一行）看到harry已经启动，而且他还是靶场作者，这个就是黑客的账户，删除即可。-a：显示所有文件，包括隐藏文件（以.开头的文件）。

一次真实的应急响应案例(Ubuntu)——暴力破解、写入ssh公钥留后门、植入GPU挖矿程序——事件复现（含靶场环境）

W小哥

03-01

9459

一、SSH协议介绍 SSH（Secure Shell）是一套协议标准，可以用来实现两台机器之间的安全登录以及安全的数据传送，其保证数据安全的原理是非对称加密。SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议，主要用于给远程登录会话数据进行加密，保证数据传输的安全。危害： SSH口令长度太短或者复杂度不够，如仅包含数字，或仅包含字母等，容易被攻击者破解，一旦被攻击者获取，可用来直接登录系统，控制服务器所有权限。一、事件背景某天客户反馈：Linux服务器有异常连接，疑似被入侵。（真实案

参与评论您还未登录，请先登录后发表或查看评论

一次真实的应急响应案例——篡改页面、sysupdate、networkservice-靶场环境下载百度链接）

03-03

真实有效，如有侵权请联系CSDN管理员删除即可

知功善防实验室-应急响应靶场（Linux2）

最新发布

qq_66367305的博客

09-18

838

摘要：通过分析服务器入侵事件，发现攻击者IP为192.168.20.1，修改管理员密码为Network@2020，首次Webshell连接路径为index.php?user-app-register，密码为Network2020。攻击者上传version.php木马文件，并在alinotify.php和环境变量中隐藏flag2和flag3。排查中发现攻击者关闭防火墙、修改SELinux模式、创建隐藏目录等操作，最终通过数据包分析获取flag1。完整解题过程涉及日志分析、密码解密、文件排查等安全检测手段。

一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门对应的应急响应靶场

03-10

暴力破解、替换ps命令、留多个houmen-应急响应靶场，应急响应教程：https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501

应急响应靶场 --web1 ---知攻善防实验室

m0_66663680的博客

03-06

2450

靶场下载地址：小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，并找来正在吃苕皮的hxd帮他分析，这是他的服务器系统。

应急响应靶场练习-Web篇（知攻善防实验室）

weixin_64815500的博客

06-03

2688

出现告警，直接工具一键日志分析或者手动日志分析查看一下是否有登录成功的信息。如果有的话记录ip、时间和路径，直接上D盾等webshell扫描工具排查异常账户，控制页面、net user、注册表sam排查影子用户其shell文件或者log查找关键信息如连接密码等常规D盾，中间件日志分析，工具远程登录日志分析等排查查看计划任务taskschd.msc，如果有找到执行的程序/路径去网站网页下面寻找信息。

Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现（含靶场环境）下载地址.txt

04-21

Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现（含靶场环境）下载地址，真实有效，亲测可用。

应急响应靶机-Linux 2（知攻善防实验室）

qq_42421872的博客

11-17

2204

他让我们提交数据包的flag，我们去root目录下发现一个数据1的文件，直接用wireshark打开，然后ctrl+f选择分组字节流搜索flag，发现再http中，鼠标右键，追踪流选择http流。我们从bt面板里面看到了他添加了一个网站，我们去看一下他的日志（这里我就不用宝塔面板中的去查看日志了），我们首先去/www/wwwlogs目录下127.0.0.1.log 查看一下日志。我们先从数据包过滤http的请求，然后发现了跟version2.php的请求，然后鼠标右键，追踪流选择http流。

应急响应靶机——linux2

weixin_73049307的博客

11-23

2784

发现POST了一个version2.php，此时回想起history命令得到的结果中显示了删除version2.php的命令记录，version2.php应该是木马文件？居然是没有图形化界面的那种linux，账户密码：root/Inch@957821.（注意是大写的i还有英文字符的.）user-app-register。发现在隐藏目录.api/中修改了mpnotify.php和alinotify.php文件。发现在流1是一堆乱码，流2中第一次看到正常的报文，url解码流2的关键代码。

应急响应——靶场实践

热门推荐

weixin_46601374的博客

04-21

1万+

唉，我可算直到值守每天12小时看警报是多么怨种的一工作，本以为该结束了，结果又加了一天！！！！还好我没放弃自己，一直在自学东西（也不是我愿意的，这也不是没有办法嘛，大家都太卷了）那就自学了学应急响应。不得不说，大佬们是真好呀，我才在日报里说我刚过完应急响应的知识，梳理出流程，就有大佬给我发来了——三个靶场，够我挺过这难熬的两天了。嘿嘿不能辜负大佬的期望，咱就好好表现吧目录先搭个靶场 应急响应的过程排查网络连接排查历史命令排查后门账户查看特权账户 ...

一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户与shift粘贴键后门、植入WK程序-应急响应靶场

04-06

一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户、shift粘贴键后门、植入wakuang程序——对应的应急响应靶场，应急响应教程参考链接：https://wxiaoge.blog.csdn.net/article/details/123897920?spm=1001.2014.3001.5502

知攻善防应急靶场-Linux(1)

m0_63138919的博客

03-24

1946

本文章参考qax的网络安全应急响应和知攻善防实验室靶场，记录自己的学习过程，还希望各位博主师傅大佬勿喷，还希望大家指出错误

知攻善防应急靶场-Linux(2)

m0_63138919的博客

03-24

3921

本文章参考qax的网络安全应急响应和知攻善防实验室靶场，记录自己的学习过程，还希望各位博主师傅大佬勿喷，还希望大家指出错误

应急响应靶机——linux1

weixin_73049307的博客

11-22

1405

等等，攻击者已经登录过root用户，说明获取了root用户权限并且可以实现权限维持，第三个flag应该不会在计划任务中，我这时想到了刚才查看passwd文件时，最后一个用户是redis用户，说明该机器上存在redis服务。2、flag{thisismybaby}和flag{kfcvme50}和flag{P@ssW0rd_redis}第三个flag暂时没有思路，先查看当前主机最近的用户登录情况，如何黑客成功登录，那么可以查到成功登录的记录。发现第三个flag：flag{P@ssW0rd_redis}

Linux应急响应——知攻善防应急靶场-Linux(1)

本散修的一些学习心得与笔记，道友请自便。

06-23

2272

Linux应急响应靶机 1 前景需要：小王急匆匆地找到小张，小王说"李哥，我dev服务器被黑了",快救救我！！挑战内容：黑客的IP地址遗留下的三个flag

应急响应靶场

weixin_44770698的博客

07-29

1038

应急响应靶场

知攻善防应急响应靶机训练-Web1

tmyzxy1314的博客

05-17

2053

本次应急响应靶机采用的是知攻善防实验室的Web-1应急响应靶机靶机下载地址为： https://pan.quark.cn/s/4b6dffd0c51a

应急响应靶机-Linux-WhereIS

2301_79903623的博客

04-28

1398

账号密码zgsf/zgsf。

知攻善防应急靶场web3

03-14

<think>好的，我需要帮助用户寻找关于知攻善防应急靶场中Web3相关的安全防护或攻击演练的信息。首先，我需要理解用户的需求。用户提到的“知攻善防应急靶场”可能是一个网络安全演练平台，而Web3涉及区块链、智能合约、去中心化应用（DApps）等新兴技术。用户想知道在这个靶场中如何进行Web3的安全防护或攻击演练。接下来，我需要整理已有的引用内容，看看是否有相关信息。引用[1]提到攻击抑制的方法，引用[3]和[4]涉及渗透测试和攻击检测，引用[5]是关于Vulfocus靶场的安装和使用。虽然没有直接提到Web3，但可以结合这些信息推断可能的演练方式。首先，Web3的安全问题主要集中在智能合约漏洞、共识机制攻击、钱包安全等方面。攻击演练可能包括模拟这些攻击，如重入攻击、闪电贷攻击等。防护措施可能涉及代码审计、漏洞修复、监控系统等。引用[3]中的渗透测试流程可以应用于Web3场景，邀请专业团队测试系统安全性。然后，考虑如何将这些内容整合。可能需要分步骤说明Web3攻击演练的流程，结合靶场环境搭建（如引用[5]的Docker部署）、攻击模拟（引用[4]的测试仪方法）、防护措施（引用[1]的抑制阶段）。同时，引用[2]的网络安全理论知识对理解Web3安全基础有帮助。用户可能需要具体的演练步骤或工具推荐，比如使用Vulfocus搭建靶场环境，或者使用Truffle、Hardhat等智能合约测试框架。此外，可以建议参考OWASP的Web3安全指南，或提供实际漏洞案例，如The DAO事件。最后，确保回答结构清晰，分点说明攻击演练和防护措施，并生成相关问题，引导用户深入探讨。同时注意引用对应的文献，如渗透测试机制[^3]，测试仪的使用[^4]，Vulfocus部署[^5]等。</think>关于知攻善防应急靶场中Web3安全防护与攻击演练的信息，结合现有技术文档和实践方法，可归纳为以下要点： ### 一、Web3攻击演练的核心方向 1. **智能合约漏洞利用** - 模拟重入攻击、整数溢出、权限绕过等常见漏洞场景，例如通过靶场环境部署含漏洞的ERC-20合约，测试攻击者如何利用漏洞盗取代币。 - 使用工具如`Mythril`或`Slither`对合约进行自动化漏洞扫描，验证防御机制的有效性。 2. **去中心化网络攻击** - 演练针对PoW/PoS共识机制的51%攻击、女巫攻击等，测试节点同步和交易验证的鲁棒性[^1]。 - 模拟跨链桥攻击场景，验证资产跨链时的签名验证和状态同步机制。 ```solidity // 示例：含重入漏洞的智能合约 contract VulnerableBank { mapping(address => uint) public balances; function withdraw() external { uint balance = balances[msg.sender]; (bool success, ) = msg.sender.call{value: balance}(""); require(success); balances[msg.sender] = 0; } } ``` ### 二、安全防护实施步骤 1. **靶场环境搭建** 使用Docker快速部署Web3靶场，例如通过`docker run`命令加载预设的区块链节点和DApp环境： ```bash docker run -d -p 8545:8545 -p 80:80 web3-target-range:v2 ``` 2. **动态防御机制** - 在网关层部署交易行为分析系统，实时检测异常gas消耗模式（如闪电贷攻击特征）。 - 采用零知识证明技术对敏感交易进行隐私保护，同时满足合规审计需求。 3. **漏洞修复与验证** - 对智能合约进行形式化验证，使用`Certora`等工具生成数学证明确保合约逻辑安全性。 - 通过模糊测试（Fuzzing）模拟海量异常输入，验证合约的边界条件处理能力。 ### 三、典型攻防场景示例 | 攻击类型 | 防护手段 | 检测指标 | |----------------|------------------------------|--------------------------| | 重入攻击 | 采用checks-effects-interactions模式 | 单交易内多次外部调用 | | 前端钓鱼攻击 | 集成钱包交易内容可视化组件 | 用户授权交易参数异常 | | 预言机操控攻击 | 多源数据聚合与异常值过滤机制 | 价格偏离历史波动阈值 | [^3]: 渗透测试需覆盖智能合约、节点客户端、钱包等多个层面，通过白帽攻击暴露潜在风险。 : 测试仪可模拟恶意交易洪泛攻击，验证节点网络吞吐量和交易过滤策略。 : Vulfocus等开源靶场支持快速构建自定义Web3漏洞环境。