Tardigrade

您能否在此 Linux 端点中找到所有基本的持久性机制？

---

服务器已遭到入侵，安全团队已决定隔离计算机，直到对其进行彻底清理。事件响应团队的初步检查显示，有五个不同的后门。你的工作是在发出信号以使服务器恢复生产之前查找并修正它们。

操作系统版本：

调查乔治账户

带suid的bash

在家目录发现一个带suid的bash

.bashrc文件反向shell

在bash启动时会自动加载.bashrc文件的内容。在家目录下查看.bashrc文件发现了reverse shell code

cronjob反向shell

查看crontab

crontab -l

发现反向shell的payload

dirty wordlist

TryHackMe:

在上一个任务中，引入了脏词表的概念。在此任务中，我们将更详细地讨论它。

从调查人员的角度来看，脏词表本质上是调查的原始文档。它可能包含有助于引导调查推进的所有内容，从实际的国际奥委会到随机笔记。保留一个肮脏的词表可以向调查人员保证已经记录了特定的 IOC，有助于保持调查的正常进行，并防止陷入使用过的线索的闭环中。

它还有助于调查人员记住他们在调查过程中的心态。在调查的不同点上注意一个人的心态的重要性通常不太重要，而是专注于更令人兴奋的原子指标;但是，记录它提供了有关为什么首先记录特定位的进一步背景信息。这就是决定枢轴点的方式，以及进一步的线索，诞生和追求。

肮脏的单词列表的优势并不止于此。在调查结束时正式记录调查结果的一种快速方法是清理它们。建议在调查过程中提供可能有助于的各种细节。因此，最终，很容易删除所有不必要的细节和虚假线索，丰富实际的国际石油公司，并建立重点。此任务的标志是：THM{d1rty_w0rdl1st}

调查root账户

.bashrc文件反向shell

当登录到root账户时，终端输出了nc连接信息

还是反向shell，还记得刚刚的.bashrc文件

调查系统

在检查了giorgio和root帐户之后，从这里开始基本上是免费游戏，因为发现更多可疑项目取决于您对系统中“正常”内容的了解程度。

系统中还有一种持久性机制。

系统剖析系统的一个好方法是寻找“平常”和“不寻常”。例如，您可以检查经常滥用或异常的文件和目录。

这种特定的持久性机制直接与新Linux安装中已经存在的东西（或某人？）相关联，并且可能被滥用和/或操纵以适应对手的目标。它叫什么名字？

查看/etc/passwd

除了这些，还有

• /etc/rc0-6.d/ 软链接到/etc/init.d自动执行
• /etc/rc.local 自动运行脚本
• /etc/init.d 存放各种脚本和服务脚本的位置

当然还有许多，我记得thm某个房间也有简单了解过动态链接库后门等等等等，当然最常见的应该就是msf给软件注入后门了

最终flag

查看nobody账户的家目录，查看.youfoundme文件