应急响应靶机-linux1-知攻善防实验室

这里的密码（含root）均为用户账户名字defend

1.查看history历史指令

2.查看开机自启动项

cat /etc/rc.d/rc.lcal
一眼v我50，拿到flag：flag{kfcvme50}

3.日志分析

4.定时任务

这里本来是到开机自启然后到定时任务的，因为我们history查看历史指令的时候已经发现动过开机自启了所以先去查看开机自启。

查看配置文件

.该攻击者IP为 192.168.75.129

2.攻击获得root时间为3月 18日 20：23：07

3.攻击用户：root用户

4.攻击方式：通过redis未授权写入ssh密钥进行登录

5.攻击者编辑了开机启动文件/etc/rc.d/rc.local,并修改了 /etc/redis.conf ，但攻击者并没有留下后门