前言应急响应靶机训练为保证每位安服仔都有上手的机会不做理论学家增加动手经验可前来挑战应急响应靶机-Linux(1)。此系列后期会长期更新关注本公众号被动学习稳步提升应急实战能力。靶机获取关注知攻善防实验室 后台回复靶机一、挑战场景与通关目标场景描述小王急匆匆地找到小张焦急地说“李哥我dev服务器被黑了快救救我” 作为安服工程师需要对这台Linux dev服务器进行应急分析定位攻击痕迹完成通关要求。通关目标需从Linux服务器中找出以下关键信息完成应急溯源黑客的IP地址黑客遗留下的三个flag重要提示该靶机存在很多非预期解在此提醒各位安服仔做靶机的核心是提升自身实战能力建议合理按照预期解进行探索拒绝投机取巧真正掌握应急响应思路。靶机登录信息普通用户defend / 密码defendroot用户root / 密码defend二、整体解题思路Linux靶机应急与Windows核心思路一致重点围绕“攻击痕迹排查”展开本次解题遵循以下逻辑贴合预期解要求查看系统历史命令history挖掘黑客操作痕迹获取第一个flag检查系统开机启动脚本/etc/rc.d/rc.local排查黑客是否利用开机自启植入恶意程序获取第二个flag分析数据库Redis配置文件与日志提取第三个flag同时溯源黑客IP地址汇总所有通关信息完成应急溯源。三、详细解题过程预期解本次靶机核心考察Linux系统基础应急操作重点关注历史命令、开机脚本、配置文件与日志分析步骤清晰适合Linux应急入门练习。步骤1查看历史命令获取第一个flag黑客攻击后往往会留下操作痕迹而Linux系统的history命令会记录用户执行过的所有命令这是应急溯源的重要突破口。使用靶机登录信息通过SSH或直接登录系统root用户登录更便捷可直接查看所有权限下的痕迹在终端输入命令查看系统历史命令history浏览历史命令记录从中直接找到第一个flag黑客操作时未清理历史记录属于常见疏忽。步骤2检查开机启动脚本获取第二个flag黑客入侵后为了长期控制服务器常会利用开机启动脚本植入恶意程序让恶意进程在服务器重启后依然能正常运行。本次靶机中黑客利用了/etc/rc.d/rc.local配置文件。在终端输入命令查看开机启动脚本内容cat /etc/rc.d/rc.local仔细查看脚本内容黑客在该文件中遗留了第二个flag直接提取即可。补充说明/etc/rc.d/rc.local是Linux系统中常用的开机自启配置文件权限较高黑客常利用该文件实现恶意程序持久化应急响应时需重点排查。步骤3分析Redis配置与日志获取第三个flag黑客IPRedis作为常用的缓存数据库也是黑客攻击的重点目标本次靶机中第三个flag隐藏在Redis配置文件中黑客IP则可通过Redis日志溯源。查看Redis配置文件提取第三个flag输入命令more /etc/redis.conf浏览配置文件内容找到黑客遗留的第三个flag查看Redis连接日志溯源黑客IP输入命令cat /var/log/redis/redis.log | grep Accgrep Acc用于筛选“连接成功”相关记录从日志筛选结果中直接定位到黑客的IP地址192.168.75.129。补充说明Redis日志默认存储在/var/log/redis/目录下通过筛选连接记录Acc即Accepted可快速找到远程连接服务器的IP这是Linux系统中数据库日志溯源的常用方法。四、通关信息汇总梳理所有解题结果汇总通关核心信息直接填入靶机通关验证界面即可黑客IP地址192.168.75.129flag1历史命令中获取[根据history命令结果填写此处保留靶机原始flag格式]flag2开机脚本中获取[根据/etc/rc.d/rc.local内容填写此处保留靶机原始flag格式]flag3Redis配置文件中获取[根据/etc/redis.conf内容填写此处保留靶机原始flag格式]五、实战总结与注意事项核心考点总结本次Linux(1)靶机属于Linux应急入门级靶场核心考察3个高频应急技能也是真实Linux应急响应中最基础、最常用的操作history命令使用快速排查用户操作痕迹定位黑客行为开机启动脚本排查重点关注/etc/rc.d/rc.local等核心配置文件防范恶意程序持久化数据库日志与配置文件分析通过Redis等常用服务的日志溯源攻击IP提取隐藏信息。注意事项严格遵循预期解探索靶机存在非预期解如直接搜索flag文件但建议按照“历史命令→开机脚本→Redis溯源”的预期路径操作才能真正提升应急思路Linux权限注意部分文件如Redis配置文件可能需要root权限才能查看建议直接使用root用户登录避免权限不足导致无法排查日志筛选技巧grep命令是Linux日志分析的核心工具可灵活使用如grep IP、grep flag等提高排查效率。后续本系列应急响应靶机将持续更新涵盖更多Linux应急场景如恶意进程、webshell、权限提升等关注公众号获取最新靶场资源一起从实战中提升Linux应急响应能力
【应急响应靶场实战】Linux(1)靶机完整题解(history分析+开机脚本+Redis溯源)
前言应急响应靶机训练为保证每位安服仔都有上手的机会不做理论学家增加动手经验可前来挑战应急响应靶机-Linux(1)。此系列后期会长期更新关注本公众号被动学习稳步提升应急实战能力。靶机获取关注知攻善防实验室 后台回复靶机一、挑战场景与通关目标场景描述小王急匆匆地找到小张焦急地说“李哥我dev服务器被黑了快救救我” 作为安服工程师需要对这台Linux dev服务器进行应急分析定位攻击痕迹完成通关要求。通关目标需从Linux服务器中找出以下关键信息完成应急溯源黑客的IP地址黑客遗留下的三个flag重要提示该靶机存在很多非预期解在此提醒各位安服仔做靶机的核心是提升自身实战能力建议合理按照预期解进行探索拒绝投机取巧真正掌握应急响应思路。靶机登录信息普通用户defend / 密码defendroot用户root / 密码defend二、整体解题思路Linux靶机应急与Windows核心思路一致重点围绕“攻击痕迹排查”展开本次解题遵循以下逻辑贴合预期解要求查看系统历史命令history挖掘黑客操作痕迹获取第一个flag检查系统开机启动脚本/etc/rc.d/rc.local排查黑客是否利用开机自启植入恶意程序获取第二个flag分析数据库Redis配置文件与日志提取第三个flag同时溯源黑客IP地址汇总所有通关信息完成应急溯源。三、详细解题过程预期解本次靶机核心考察Linux系统基础应急操作重点关注历史命令、开机脚本、配置文件与日志分析步骤清晰适合Linux应急入门练习。步骤1查看历史命令获取第一个flag黑客攻击后往往会留下操作痕迹而Linux系统的history命令会记录用户执行过的所有命令这是应急溯源的重要突破口。使用靶机登录信息通过SSH或直接登录系统root用户登录更便捷可直接查看所有权限下的痕迹在终端输入命令查看系统历史命令history浏览历史命令记录从中直接找到第一个flag黑客操作时未清理历史记录属于常见疏忽。步骤2检查开机启动脚本获取第二个flag黑客入侵后为了长期控制服务器常会利用开机启动脚本植入恶意程序让恶意进程在服务器重启后依然能正常运行。本次靶机中黑客利用了/etc/rc.d/rc.local配置文件。在终端输入命令查看开机启动脚本内容cat /etc/rc.d/rc.local仔细查看脚本内容黑客在该文件中遗留了第二个flag直接提取即可。补充说明/etc/rc.d/rc.local是Linux系统中常用的开机自启配置文件权限较高黑客常利用该文件实现恶意程序持久化应急响应时需重点排查。步骤3分析Redis配置与日志获取第三个flag黑客IPRedis作为常用的缓存数据库也是黑客攻击的重点目标本次靶机中第三个flag隐藏在Redis配置文件中黑客IP则可通过Redis日志溯源。查看Redis配置文件提取第三个flag输入命令more /etc/redis.conf浏览配置文件内容找到黑客遗留的第三个flag查看Redis连接日志溯源黑客IP输入命令cat /var/log/redis/redis.log | grep Accgrep Acc用于筛选“连接成功”相关记录从日志筛选结果中直接定位到黑客的IP地址192.168.75.129。补充说明Redis日志默认存储在/var/log/redis/目录下通过筛选连接记录Acc即Accepted可快速找到远程连接服务器的IP这是Linux系统中数据库日志溯源的常用方法。四、通关信息汇总梳理所有解题结果汇总通关核心信息直接填入靶机通关验证界面即可黑客IP地址192.168.75.129flag1历史命令中获取[根据history命令结果填写此处保留靶机原始flag格式]flag2开机脚本中获取[根据/etc/rc.d/rc.local内容填写此处保留靶机原始flag格式]flag3Redis配置文件中获取[根据/etc/redis.conf内容填写此处保留靶机原始flag格式]五、实战总结与注意事项核心考点总结本次Linux(1)靶机属于Linux应急入门级靶场核心考察3个高频应急技能也是真实Linux应急响应中最基础、最常用的操作history命令使用快速排查用户操作痕迹定位黑客行为开机启动脚本排查重点关注/etc/rc.d/rc.local等核心配置文件防范恶意程序持久化数据库日志与配置文件分析通过Redis等常用服务的日志溯源攻击IP提取隐藏信息。注意事项严格遵循预期解探索靶机存在非预期解如直接搜索flag文件但建议按照“历史命令→开机脚本→Redis溯源”的预期路径操作才能真正提升应急思路Linux权限注意部分文件如Redis配置文件可能需要root权限才能查看建议直接使用root用户登录避免权限不足导致无法排查日志筛选技巧grep命令是Linux日志分析的核心工具可灵活使用如grep IP、grep flag等提高排查效率。后续本系列应急响应靶机将持续更新涵盖更多Linux应急场景如恶意进程、webshell、权限提升等关注公众号获取最新靶场资源一起从实战中提升Linux应急响应能力
