知工善防靶机Linux-SSH(Server2216)
知工善防靶机Linux-SSH(Server2216)
28.7的博客应急响应
任务环境说明:
- 服务器场景:Server2216(开放链接)
- 用户名:root密码:123456
** 提示 **
1.0、黑客通过网络攻入本地服务器,通过特殊手段在系统中建立了多个异常进程,找出启动异常进程的脚本,并将其绝对路径作为Flag值提交
题目提到了异常进程的脚本,一半异常的进程都有一个特征就是开机自启,或者在计划任务中,执行crontab -l时候,并没有发现计划任务,但是并不一定可靠,crontab -l查看的内容,实际上是查看一个文件的内容,该文件路径在/var/spool/cron/目录下,任务计划的文件名以用户名命名。
我们使用crontab -e 参数编辑当前用户root的任务计划
1 | crontab -e |
这与我们在编辑用户计划任务时看到的内容一致,所以flag /var/spool/cron/root
2.0、黑客通过网络攻入本地服务器,通过特殊手段在系统中建立了多个异常进程,将恶意脚本的源文件所在的绝对路径作为Flag值提交; (多个路径之间以英文逗号分割,如:/etc/proc,/etc/my.cnf)
1.sh 脚本
查看脚本内容,第一个异常脚本是反弹shell的
1 |
|
2.sh 脚本
查看脚本内容,第二个异常脚本是创建计划任务的
1 | (crontab -l;printf "* * * * * /root/1.sh;\rno crontab for `whoami`%100c\n")|crontab - |
** FLAG: /root/1.sh,/root/2.sh,/var/spool/cron/root **
3.0、黑客在服务器某处存放了多个木马程序,请你找到此木马程序并清除木马,将木马建立连接所使用的端口号作为Flag值提交;
1.sh 脚本内容
1 |
|
FLAG: 5555
4.0、 黑客通过网络攻入本地服务器,将黑客暴力破解服务器的次数作为Flag值提交;
使用 ss -tnl命令和参数查看服务器所对外开放的端口,发现只有80和22端口对外开放,其中80端口是一个web靶场,并无登录界面,而ssh之类,大概率是爆破点,ssh的日志在/var/log/secure文件中,很多生产环境中,日志都按天进行分割,所以文件名可能以secure+日期开头,发现存在如下日志文件
ssh登录失败会返回Failed password关键字,登录成功会返回Accept,所以我们只需要筛选Failed password 即可
查看secure-20200601那天的日志,发现也是存在爆破的,所以因此黑客爆破服务器的次数是 secure-20200601 + secure-20210420 = 爆破次数。
flag =
5.0、 黑客攻入本地服务器,请你找出黑客入侵服务器时所使用的IP地址,将IP地址作为Flag值(若存在多个IP,IP地址之间以英文逗号分割,如:10.1.1.1,20.1.1.2)提交。
1 | grep "Accept" /var/log/secure-202* |
此时我们确定了四个IP
192.168.36.1
192.168.184.146
192.168.184.1,
192.168.36.129 经过筛选,除了192.168.36.1 其他三个都是爆破IP
