应急响应靶机-Linux(1)

已于 2025-04-13 20:51:12 修改
阅读量424 收藏 9
点赞数 3
文章标签: tcp/ip 服务器 linux 网络安全 前端
于 2025-04-13 20:50:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_63449412/article/details/147197052
版权

挑战内容

账户密码:defend/defend

Root/defend

  • 黑客的IP地址
  • 遗留下的三个flag

1、按正常思路来走,先登录一手因已经给出root账户密码,先查看一手执行过的命令,发现一个flag值并且看到他往期编辑了一个文件,咱们顺便进去看看

2、成功找到第二个flag

3、还剩一个flag一般都是藏在某一个文件里面,这个需要时间或者经验,咱们可以先进全局搜索,发现没有名称为flag的文件或者txt文件藏了flag的,所以猜测可能会藏在其他后缀的文件里面,一般linux比较常见的还有.conf\.d\.secrets或者是日志文件.log里面,咱们就一个个看,后在.conf中查找到

4、现在咱们就需要去查找黑客的ip地址了,按照惯例先看下日志,这时就有人会说了var/log里面这么多文件该难不成一个个看,一个个翻吗?这个有技巧的,都说了是ip地址一般的黑客ip要不是10开头要不是192什么什么开头,咱们直接开猜,或者是有什么标志性文件可以优先查看

有一说一10的东西怎么这么多后面搜索192查找到了,但是有时候也可能不是这两个可能是其他的不可能一个个的去搜索,这样会很费时间

5、那么咱们可以直接查找所有的ip类型的地址,有人就会说了怎么分辨哪个是黑客的ip地址呢,其实一般出现的最多的就是黑客的ip地址

,然后咱们就按照多少顺序去查看日志,以便确定黑客的ip地址如果是提交ip地址的话,可以一个个试错

墨燃.
关注
应急响应Linux
qq_73792226的博客
08-16 1183
【代码】应急响应Linux
Linux应急响应思路和技巧(一):进程分析篇
WangsuSecurity的博客
05-27 2033
本文总结自网宿安全演武实验室安全应急响应团队日常工作实践
应急响应靶机-Linux 1(知攻善防实验室)
qq_42421872的博客
11-17 730
我们看到他对/etc/rc.d/rc.local进行编辑和提升了执行权限(Linux中/etc/rc.d/rc.local 用于添加开机启动命令。首先我们用lastlog去查看过去登陆的用户信息,结果发现了这个ip地址登录过root用户。通过查看log日志,发现存在redis,我们去redis配置文件看看去(由此我们得到攻击者的IP地址为192.168.75.129。,查看有rc.local,直接用。查看历史命令,得到第一个flag。我们先去root用户看看,通过。)得到第三个flag
Linux应急响应靶机 2
qq_48904485的博客
06-28 1374
看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!1,提交攻击者IP2,提交攻击者修改的管理员密码(明文)3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)3,提交Webshell连接密码4,提交数据包的flag15,提交攻击者使用的后续上传的木马文件名称6,提交攻击者隐藏的flag27,提交攻击者隐藏的flag3。
Linux应急响应——知攻善防应急靶场-Linux(1)
本散修的一些学习心得与笔记,道友请自便。
06-23 1915
Linux应急响应靶机 1 前景需要: 小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!! 挑战内容: 黑客的IP地址 遗留下的三个flag
应急响应靶机——linux2
weixin_73049307的博客
11-23 2091
发现POST了一个version2.php,此时回想起history命令得到的结果中显示了删除version2.php的命令记录,version2.php应该是木马文件?居然是没有图形化界面的那种linux,账户密码:root/Inch@957821.(注意是大写的i还有英文字符的.)user-app-register。发现在隐藏目录.api/中修改了mpnotify.php和alinotify.php文件。发现在流1是一堆乱码,流2中第一次看到正常的报文,url解码流2的关键代码。
应急响应靶机-linux1-知攻善防实验室
m0_62840741的博客
08-21 927
小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!!
应急响应-Linux(1)
qq_45427131的博客
03-21 327
一般系统中马之后会有进程连接黑客的主机,可以使用查看下当前进程的连接,此处查看到没有后 ,可以从系统服务开始查找,系统的服务日志一般都会保存相关访问信息,主要是分析日志SSH首先从ssh日志开始排查,因为这个服务比较重要 ,日志位置**/var/log/secure**,通过关键字failed可以看到服务报错,可能是黑客在爆破密码,从日志可以获取黑客IP。
知攻善防-应急响应靶机-web1.z35
12-26
知攻善防-应急响应靶机-web1.z35
知攻善防-应急响应靶机-web2.z01
12-26
知攻善防-应急响应靶机-web2.z01
应急响应靶机-Linux(2)
tmyzxy1314的博客
06-26 1813
本次应急响应靶机采用的是知攻善防实验室的Linux-2应急响应靶机靶机下载地址为:相关账户密码: root/Inch@957821.(记住要带最后的点.)
应急响应靶机-Linux 2(知攻善防实验室)
qq_42421872的博客
11-17 2048
他让我们提交数据包的flag,我们去root目录下发现一个数据1的文件,直接用wireshark打开,然后ctrl+f选择分组字节流 搜索flag,发现再http中,鼠标右键,追踪流选择http流。我们从bt面板里面看到了他添加了一个网站,我们去看一下他的日志(这里我就不用宝塔面板中的去查看日志了),我们首先去/www/wwwlogs目录下127.0.0.1.log 查看一下日志。我们先从数据包过滤http的请求,然后发现了跟version2.php的请求,然后鼠标右键,追踪流选择http流。
应急响应靶机练习-Linux1
最新发布
m0_74631795的博客
03-14 1059
在配置文件中发现redis监听0.0.0.0,并且没有密码要求(requirepass被注释了),这就是redis未授权访问漏洞的根源。是一个传统的 Linux 启动脚本文件,用于在系统启动时执行一些自定义的命令或脚本。之所以查看redis日志,是因为在lastlog中发现存在redis用户,再结合ssh公钥登录,很有可能是redis未授权漏洞。发现含有redis字符的ssh公钥,可以判定攻击者利用redis未授权漏洞进行ssh公钥写入,再进行ssh远程连接。分左右,在短时间内,可疑IP。
linux应急响应基础和常用命令
菜鸟学安全的博客
12-17 2846
linux应急响应基础和常用命令基于linux系统本身进行应急响应
知攻善防应急靶场-Linux(2)
m0_63138919的博客
03-24 3267
本文章参考qax的网络安全应急响应和知攻善防实验室靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
应急响应基础笔记(二)——应急响应Linux入侵排查
haha1314的博客
11-14 708
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...
Linux应急响应基础(Linux服务器入侵响应)学习
汗的博客
06-22 909
应急响应常用命令 查找和文本操作 find 根目录下所有.jsp后缀文件 find / -name *.jsp 最近3天修改过的文件 find -type f -mtime -3 最近3天创建的文件 find -type f -ctime -3 grep、strings、more、head、tail 过滤出不带有某个关键词的行并输出行号 grep -nv 'root' /etc/passwd 查看根目录下 含有root信息的文件,并标注行号 grep -nr root / 查看根目录下后缀为.jsp
9,应急响应
m0_64040060的博客
09-24 476
2.查看是否有新增可登录用户 cat /etc/passwd | grep -E 'sh' cat /etc/shadow | grep -E '(\$1|\$6)'3.查看历史命令 history history -c 对应的用户 cat /home/user_name/.bash_history rm。5.查看进程 ls -al /proc/pid/exe ps aux | grep pid。6.启动项 rc.local rc/rc[0-6].d。j) 查看当前登录的用户(query user)
应急响应靶机练习-web3
01-05
### 关于应急响应靶机练习中的Web3资源 在进行应急响应靶机练习时,针对Web3技术的学习和实践尤为重要。对于希望深入理解并掌握Web3安全性的个人而言,可以从以下几个方面获取相关资源和支持。 #### Web3应急响应靶机介绍 为了更好地理解和应对Web3环境下的攻击模式和技术手段,可以利用专门设计用于模拟真实世界网络攻击场景的虚拟实验室——即所谓的“靶机”。这类平台允许参与者在一个受控环境中测试自己的技能,并通过解决实际问题来提高技术水平[^2]。 #### 获取Web3应急响应靶机的方法 有多种途径可以获得适合做Web3应急响应训练的靶机- **官方渠道**:一些知名的CTF竞赛网站会不定期发布基于区块链或去中心化应用(DApps)构建的任务挑战赛;这些活动通常伴随着详细的文档说明以及必要的安装包下载链接。 - **社区分享**:活跃的技术交流平台上经常会有开发者上传自己制作的小型实验项目供他人参考学习。例如,在优快云博客上就有作者提供了名为`windows-web3`的一系列教程及其配套使用的镜像文件下载地址。 ```bash wget https://pan.quark.cn/s/1fb45a02f814 -O windows-web3.zip unzip windows-web3.zip ``` #### 学习路径建议 除了直接参与具体的攻防演练外,还应该注重理论知识体系的建设。这包括但不限于熟悉常见的智能合约漏洞类型、Solidity编程语言特性等基础知识。同时也要关注行业动态和发展趋势,及时更新自身的认知框架[^1]。 #### 实战技巧总结 当面对复杂的Web3应用场景时,有效的分析方法论不可或缺。这里列举几个实用性强的原则作为参考: - 始终保持怀疑态度对待任何未经验证的信息输入; - 对每一行代码都执行严格的审计流程; - 积极参加各类线上线下培训课程以拓宽视野范围。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值