m0_74631795的博客

小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，这是他的服务器系统，请你找出以下内容，并作为通关条件：1.攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名用户：密码。

小张是个刚入门的程序猿，在公司开发产品的时候突然被叫去应急，小张心想"早知道简历上不写会应急了"，于是call了运维小王的电话，小王说"你面试的时候不是说会应急吗？伪造简历吗？真该死。1. 攻击者内网跳板机IP地址2. 攻击者服务器地址3. 存在漏洞的服务(提示:7个字符)4. 攻击者留下的flag(格式zgsf{})5. 攻击者邮箱地址6. 攻击者的ID名称。

如果存在挖矿程序，cpu、gpu、内存啥的使用率会比较高，crtl+shift+esc打开任务管理器查看使用情况，发现存在一个程序占用内存较多（ps:这个的占用情况跟设置的虚拟机配置有关，关注相对占比即可，无需关注绝对占比）吐槽：这个程序如果输入一次错误，直接退出了，又得重新从头输入一遍，还是MD5需要输入大写，也没有明确的提示。没有发现该服务器存在web服务，可能是通过rdp远程登录进来的，需要查看日志确认。（ps：20:17分的记录没看到 ip，应该不是破解的日志，要看25分的记录）

前景需要：看监控的时候发现webshell告警，领导让你上机检查你可以救救安服仔吗！！挑战内容：（1）提交攻击者IP（2）提交攻击者修改的管理员密码(明文)（3）提交第一次Webshell的连接URL(（4）提交Webshell连接密码（5）提交数据包的flag1（6）提交攻击者使用的后续上传的木马文件名称（7）提交攻击者隐藏的flag2（8）提交攻击者隐藏的flag3。

在配置文件中发现redis监听0.0.0.0，并且没有密码要求（requirepass被注释了），这就是redis未授权访问漏洞的根源。是一个传统的 Linux 启动脚本文件，用于在系统启动时执行一些自定义的命令或脚本。之所以查看redis日志，是因为在lastlog中发现存在redis用户，再结合ssh公钥登录，很有可能是redis未授权漏洞。发现含有redis字符的ssh公钥，可以判定攻击者利用redis未授权漏洞进行ssh公钥写入，再进行ssh远程连接。分左右，在短时间内，可疑IP。