听组长说可以多看看应急响应,于是乎在网上找到一个康康。好难啊aaa~( ̄▽ ̄)~*

linux 1

解题

1.输入攻击者的IP地址

查看最近所有用户的登录时间

image.png

发现192.168.75.129登录过root用户

2.请输入三个flag

查看root干了些什么

{CE283F30-A49E-4EB9-AB60-9BFDE7837314}.png

得到flag{thisismybaby}

根据root用户的历史命令,发现:

  1. chmod +x /etc/rc.d/rc.local:给/etc/rc.d/rc.local文件添加可执行权限
  2. vim /etc/rc.d/rc.local:使用vim编辑/etc/rc.d/rc.local文件

说明/etc/rc.d/rc.local文件可能有些猫腻,用cat /etc/rc.d/rc.local直接查看rc.local(开机启动文件)文件内容

{B47B0772-4EA7-4588-A5D1-2FD378354120}.png

得到flag{kfcvme50}

接着没辙了,然后我想这每个命令都试一试

看了wp说,用cat /etc/passwd查看有没有新增的用户,发现底部存在redis用户