首页 应急响应 靶场 玄机

题目:

redis应急响应

服务器场景操作系统 Linux

服务器账号密码 root xjredis

解题:

  1. 通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;

这里查redis的log,可以直接发现黑客IP

![](/images/第二章 日志分析_Redis 应急响应_1723040859820-0997fbfc-4073-413c-84fd-b48fc5bb93f2.png)

  1. 通过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交;

这里可以看到,往主机里面写了exp.so

![](/images/第二章 日志分析_Redis 应急响应_1723040888220-d409b7c3-2b8e-450d-b8e9-81b5e9474cd0.png)

然后上Redis看dir位置,是在根目录

![](/images/第二章 日志分析_Redis 应急响应_1723040946487-0d321b51-b559-4498-a87f-934f7b71da47.png)

在根目录可以找到exp.so,这里直接丢微步了

![](/images/第二章 日志分析_Redis 应急响应_1723040972836-c2622f20-71d9-40d5-8b30-c8f2428f52bd.png)

![](/images/第二章 日志分析_Redis 应急响应_1723040990707-41d119b6-37c4-4ec8-bb3f-e6cfcfc48451.png)

  1. 通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少,将反弹 shell 的IP 作为 FLAG 提交;

这里同样也是看日志可以发现

![](/images/第二章 日志分析_Redis 应急响应_1723041028317-b5304547-7bda-4b18-a20a-b9cd3e1d6237.png)

  1. 通过本地 PC SSH到服务器并且溯源分析黑客的用户名,并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交

在root下有公钥,可以看到有一个用户名,并且可以看到这个公钥是由Redis写的

![](/images/第二章 日志分析_Redis 应急响应_1723042130786-1b997985-931a-465c-9a98-01aa54c6f21b.png)

这里需要溯源,上Github上找这个用户名

![](/images/第二章 日志分析_Redis 应急响应_1723042198276-57ba3f8b-4bd5-44dc-9dbd-51ba754ec00b.png)

找到这个用户下有一个Redis getshell的项目,看他曾经的commit

![](/images/第二章 日志分析_Redis 应急响应_1723042475754-77515bfa-c4e2-44d9-98cd-80285310d9b2.png)

和用户名拼接即可

  1. 通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交;

机器系统为Debian,使用dpkg进行校验

![](/images/第二章 日志分析_Redis 应急响应_1723043147318-0cd40b24-2f32-4957-820a-b1563838d737.png)

发现ps被篡改,前往/usr/bin查看ps文件

![](/images/第二章 日志分析_Redis 应急响应_1723043199201-d665b992-0504-452b-abe1-b084b346c101.png)

使用cat查看ps

![](/images/第二章 日志分析_Redis 应急响应_1723043226985-08770f0e-d02a-4b29-8d00-b16dfae45ad3.png)