目录

一、测试环境

二、测试目的

三、操作过程

Flag1

Flag2

Flag3

Flag4

Flag5

四、结论

---

一、测试环境

靶场介绍：国内厂商设置的玄机靶场，以应急响应题目著名。

地址：https://xj.edisec.net/challenges/22

靶机IP：69.230.236.23

环境ssh登录：root/xjredis

靶机简介：

二、测试目的

上机排查，进行应急响应，完成靶场题目要求。

三、操作过程

Flag1

查看redis日志文件：/var/log/redis.log

在日志中找到主从复制特征，黑客使用主从复制攻击了该服务器，连接的服务器IP就是黑客IP：192.168.100.20

Flag1：flag{192.168.100.20}

Flag2

在redis日志中，看到上传的恶意文件的名字：exp.so

在靶机找到该文件

下载到本地，逆向分析。打开后，Alt + T搜索flag即可找到该字符串

Flag2：flag{XJ_78f012d7-42fc-49a8-8a8c-e74c87ea109b}

Flag3

查看定时任务可以发现反弹shell得到命令，IP：192.168.100.13

Flag3：flag{192.168.100.13}

Flag4

黑客修改ssh登录的密钥的话，公钥的用户名很可能就是黑客的用户。查看公钥找到用户名，是flag的上半段

在GitHub上可以找到该用户，并且该用户的项目中有一个redis主从复制利用工具

https://github.com/xj-test-user

查看redis主从复制利用工具的项目，查看历史提交

成功找到隐藏字符串，找到flag的后半段

Flag4：flag{xj-test-user-wow-you-find-flag}

Flag5

逐个查看环境变量的路径地址下的命令

在/usr/bin中找到了两个ps命令

查看ps命令的内容，找到了flag字符串

Flag5：flag{c195i2923381905517d818e313792d196}

四、结论

熟悉了redis的日志内容，丰富应急响应排查的思路。