B-5:事件分析应急响应
任务环境说明:
- 服务器场景:Server2229(开放链接)
- 用户名:root,密码:p@ssw0rd123
1.找出黑客植入到系统中的二进制木马程序,并将木马程序的名称作为 Flag 值(若存在多个提交时使用英文逗号隔开,例如 bin,sbin,...)提交;
先使用命令 crontab -l
查看二进制文件
在使用 find
find / -name **cpufan ****** ** 2> /dev/null
在使用 netstat -anopt(我这里做不出来,可以说是这一步可做不做,只是其中的一个步骤,确定是后门文件,并且查出端口)
我们去试着访问/usr/bin/ps,发现权限不够
查看一下,发现是个很明显的后门文件
1.打开电脑自启 centos.core.lef
2.使用/centos_core.elf 进程后会和别的 ip 进行连接
3.也是个 ELF 执行文件
为什么觉得是黑客修改了 ps 命令呢?输入 ps 会执行这个后门文件
进入了这个之后,会发现有个 redflag,这个看起来像是放着 flag 的文件,可能是看我太菜了,直接放在提醒词!
发现个隐藏的.shell.elf
这 tm 什么玩意?一看就是病毒!ELF 是 exe 的头一般用户文件夹里面放 exe 干嘛...
已经确认了 centos_core.elf 和 shell.elf 病毒,但是是这个时候我们想起来了,之前还有个 cpufan 没有确认,我们去找一找看一看
vim /usr/share/sbin/cpufan
wc,一看就是后门!具体为什么是,这个关系到上面的思路了,在上面看的时候也发现是 ELF 头,exe 可执行文件
所以 flag 为:cpufan,centos_core_elf,shell.elf
2.找出被黑客修改的系统默认指令,并将被修改的指令里最后一个单词作为 Flag 值提交;
cat /usr/bin/ps
flag:bash
3.找出被黑客替换的系统指令,并将其绝对路径作为 Flag 值提交;
根据上面那题来看答案,但还是/usr/bin/ps 这个答案比较好一些
flag:/usr/bin/ps
或者.hide_command/ps
4.找出被黑客修改的服务配置文件,将文件的 md5 值前四位作为 Flag 值提交;
我们做应急响应的第一步一般都是 history,这个文一直没管
我们来看看,这个文件调用了 history 第五条那个文件,我们去看看这个文件
这个目录里面居然还放着 vulhub 这个靶场...
不管这个靶场了,我们看这个文件,执行了上面那个木马
所以被修改的服务配置文件是这个 cpuspeed
根据题目说是 md5 值的前 4 位
那答案就是
flag:fb91
5.找出系统中的弱口令账号,将该账号的用户名及密码作为 Flag 值(用户名和密码之间用英文冒号隔开,例如:root:toor)提交。
nmap -A -T4 10.203.48.146
扫描一下,看看什么情况
图片写的这些字只是另外一个思路,可用可不用
我们在进入系统的时候可以看见有两个用户,ip 我们知道,是 10.203.48.146,绕口令用户通常是指 admin 和 root
但是也可以用 10.203.48.146 的 root 看一下/etc/shadow,有这个 admin 账号
把这个放进文件里面,并且命名为 admin,
这个是利用上面那个打开 ssh 的方式进行 ssh 账号密码爆破
有时候需要把回车按着才能爆破
用 john 进行爆破,时间比较长
flag:admin,aaaab
redflag 爆不出来,但也不是绕口令账号
- 第五题,其实也可以使用 ssh login 模块(下面这个 ssh-genkey)爆破-----------> 反正这题不用
上面说了,
OpenSSH 8.2 (protocol 2.0)
需要用这一条命令来建立私钥之后才能 ssh 连接,如果连接不进去就用这种方法,可以连接就不用了,但是这题我想了一下,直接在 root 里面就可以换 redflag 这个账号,这只是个思路罢了ssh-keygen
为 ssh 生成、管理和转换认证密钥
补充说明
ssh-keygen 命令 用于为“ssh”生成、管理和转换认证密钥,它支持 RSA 和 DSA 两种认证密钥。
语法
ssh-keygen(选项)
选项
-b:指定密钥长度; -e:读取openssh的私钥或者公钥文件; -C:添加注释; -f:指定用来保存密钥的文件名; -i:读取未加密的ssh-v2兼容的私钥/公钥文件,然后在标准输出设备上显示openssh兼容的私钥/公钥; -l:显示公钥文件的指纹数据; -N:提供一个新密语; -P:提供(旧)密语; -q:静默模式; -t:指定要创建的密钥类型。
使用 shh-keygen 命令(强烈建议使用此方法)
比如我们要将 的公钥信息清除,使用命令(请自己将 替换成自己的 IP 或域名):
ssh
-keygen -R xxx
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于