玄机靶场 - 第一章 应急响应-Linux日志分析

已于 2024-08-13 11:29:05 修改
阅读量1k 收藏 20
点赞数 9
分类专栏: # 应急靶场 靶场练习 文章标签: linux 网络安全 apache 服务器
于 2024-08-08 23:10:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fishfishfishman/article/details/141038491
版权

题目地址:第一章 应急响应-Linux日志分析 · 玄机 - EDISEC

本次靶场要求提供的flag如下:

  1. 有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割
  2. ssh爆破成功登陆的IP是多少,如果有多个使用","分割
  3. 爆破用户名字典是什么?如果有多个使用","分割
  4. 登陆成功的IP共爆破了多少次
  5. 黑客登陆主机后新建了一个后门用户,用户名是多少

Flag1

有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割

首先查看日志,找到和认证相关的日志

image.png
查看认证日志信息,搜索有没有爆破root账号的日志

cat /var/log/auth.log.1

image.png
提取其中一条爆破失败的日志信息

Aug  1 07:47:22 linux-rz sshd[7503]: Failed password for root from 192.168.200.2 port 46647 ssh2

构造一条语句快速提取爆破root密码的去重IP地址

grep -a "Failed password for root" /var/log/auth.log.1 | awk '{print $11}'| sort | uniq

image.png
拼接成Flag的格式并提交

flag{192.168.200.2,192.168.200.31,192.168.200.32}

Flag2

ssh爆破成功登陆的IP是多少,如果有多个使用","分割

依然是auth.log.1文件,提取登录成功的日志信息

Aug  1 07:47:23 linux-rz sshd[7505]: Accepted password for root from 192.168.200.2 port 46563 ssh2

修改匹配语句,提取IP地址

grep -a "Accepted password for root" /var/log/auth.log.1 | awk '{print $11}'| sort | uniq

发现只有一个IP爆破成功,得到flag

flag{192.168.200.2}

Flag3

爆破用户名字典是什么?如果有多个使用","分割

首先提取一条爆破用户名的日志

Aug  1 07:47:00 linux-rz sshd[7489]: Invalid user hello from 192.168.200.2 port 37653

然后通过指令查询爆破的用户名,指令我没写的太复杂

grep -a "Failed password for" /var/log/auth.log.1 | awk '{print $9, $10, $11}' | uniq

image.png
通过手动拼接获取到了爆破的用户名,构成flag提交发现不对,然后还试了是不是对爆破的IP也有要求,又分别构造了几条试了也都不对

flag{test1,test2,test3,root,user,hello}
flag{test1,test2,test3}
flag{user,hello}
flag{user,hello,root}

最后看了下别人的题解,要求是要统计重复次数并且按照重复次数进行降序排序,我的评价是多此一举,这个答案设计的有点死板

grep -a "Failed password for" /var/log/auth.log.1 | awk '{print $9, $10, $11}' | uniq -c |sort -nr

image.png
最后按降序排序结果得到flag

flag{user,hello,root,test3,test2,test1}

Flag4

登录成功的IP共爆破了多少次?

最开始没理解意思,以为是要获取登录成功的IP192.168.200.2总的爆破次数,统计出来结果是19

grep -a "Failed password for" /var/log/auth.log.1 | grep -a "192.168.200.2"| wc -l

image.png
后面发现不对,看了下别人的题解说是要获取“登录成功的IP共爆破了root用户多少次?”,修改了一下语法查出来是4次

grep -a "Failed password for root" /var/log/auth.log.1 | grep -a "192.168.200.2"| wc -l

image.png
好好好,隐藏条件不说全是吧,最后得到flag

flag{4}

Flag5

黑客登陆主机后新建了一个后门用户,用户名是多少

直接通过指令查看新建了哪些用户,可以看到有两个用户新增

grep -a "new user" auth.log.1

image.png
两个用户名都提交测试了下,正确的后门用户是test2

flag{test2}

说实话有点费解,看了日志感觉debian用户的操作更加可疑一点,下面简单的倒推一下

首先根据日志格式,可以知道爆破root并登录成功时对应的主机名为linux-rz,而新增用户名操作对应的主机名也是linux-rz,并且是登陆后随后进行的操作,说明是用的黑客登录成功的Session进行的新增后门用户操作,登录环境没变

image.png
而新增用户debian操作换了个主机环境,变成了ip-172-31-37-190,并且是在之前的Session退出后操作的,应该是靶场搭建人员做的维护

image.png
最后还有个ip-10-0-10-9的主机名,看了下对应的是我打靶场用的远程登录环境

image.png

玄机靶第一章 应急响应-Linux日志分析
qq_46343633的博客
06-04 1897
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用",“分割2.ssh爆破成功登陆的IP是多少,如果有多个使用”,“分割3.爆破用户名字典是什么?如果有多个使用”,"分割4.登陆成功的IP共爆破了多少次5.黑客登陆主机后新建了一个后门用户,用户名是多少这次靶场是用来确定攻击者的相关信息,以便于后期的溯源和编写应急响应报告。
玄机靶场 - 第一章 应急响应- Linux入侵排查
fishfishfishman的博客
08-08 775
运行后门文件,然后再次查看网络连接,可以看到请求的黑客服务器地址和监听端口,如果是真实环境这一步应该在虚拟机或沙盒中进行,打靶场就暂时不讲究这么多了。文件,而elf文件是Linux系统的可执行文件,类似于Windows的exe,加上这个文件名可以判断这是个后门文件。其实这个文件不算不死马,不死马文件在下面这个flag的解题步骤里。,必须通过查看隐藏文件的指令才能发现,密码是加密的md5值。而在这个文件中,不死马对应的密码也是我们前面得到的md5值。是我们前面提到的隐藏后门文件,而这个后门文件实际是由。
【玄机】第一章 应急响应-Linux日志分析
weixin_46148739的博客
08-12 661
关注momo安全公众号,私信免费获取玄机邀请码!!!
玄机靶场-应急响应WP(详细+个人总结)
最新发布
2301_79882409的博客
04-18 767
cat [日志文件名] | cut -f[要提取的字段序号] -d "[字段分隔符]" | sort | uniq -c | sort -k [用于排序的字段序号] -r | head -n [要输出的行数]右键编码“Value”位置,点击“分组字节流”,开始位置调整为“2”(蚁剑会在编码前加两位随机生成的字符,所以需要调整),解码为调整为“Base64”,总结,以上都是断网情况下的应急响应,关于日志分析,最重要的就是熟悉用命令查找,筛选,稍后会总结一篇速通日志分析的文章。
玄机----第一章 应急响应-Linux日志分析
a666666688的博客
09-26 1240
auth.log.1 文件,是因为系统的一个日志轮换机制,当日志文件达到一定大小或满足特定的时间条件时,auth.log 文件会轮转,旧的文件会被重命名为auth.log.1。linux登录相关的日志存储在**/var/log路径下的secure或auth.log**中。1.有多少IP在爆破主机ssh的root账号,如果有多个使用","分割。1.有多少IP在爆破主机ssh的root账号,如果有多个使用","分割。2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割。如果有多个使用","分割。
【玄机】-----应急响应-Linux日志分析详解
qq_74483249的博客
06-25 1233
这段Perl代码读取从`grep`传递过来的每一行(`$_=`),并尝试匹配正则表达式`/for(.*?- 使用 `grep` 命令搜索 `/var/log/auth.log.1` 文件中包含 "Failed password for root" 的行。- 使用`grep`命令从`/var/log/auth.log.1`文件中搜索包含“Failed password”的行。- `-c` 选项在输出行前加上该行在输入中出现的次数。- `-c`选项使`uniq`在输出每个唯一项时前面加上它出现的次数。
第一章 应急响应-Linux日志分析
2403_85472272的博客
07-01 327
我们的判断基础是这两个文件,其次这里我们需要判断出哪些爆破的是 Root 账号,所以需要搜索 “Failed password for root”1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割。2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割。搜索 auth 日志,当 SSH 登录成功时,会回显。3.爆破用户名字典是什么?如果有多个使用","分割。5.黑客登陆主机后新建了一个后门用户,用户名是多少。查看 auth 日志有两条,分别是。4.登陆成功的IP共爆破了多少次。
玄机-第一章 应急响应-Linux日志分析
WTT001的博客
12-24 415
【代码】玄机-第一章 应急响应-Linux日志分析
玄机靶场 第一章 应急响应- Linux入侵排查
qq_46343633的博客
06-04 1614
1.web目录存在木马,请找到木马的密码提交2.服务器疑似存在不死马,请找到不死马的密码提交3.不死马是通过哪个文件生成的,请提交文件名4.黑客留下了木马文件,请找出黑客的服务器ip提交5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交。
玄机-第一章 应急响应-webshell查杀
lin__ying的博客
07-27 695
session_start():用于创建或重启一个会话,这是 PHP 木马中常见的功能,用于存储攻击载荷或状态信息。eval()、assert():这些函数用于执行字符串作为 PHP 代码,是 PHP 木马中常见的执行恶意代码的方式。黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx。黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}cat gz.php #查看gz.php文件。
玄机靶场 第二章日志分析-mysql应急响应
qq_46343633的博客
06-05 1532
1.黑客第一次写入的shell flag{关键字符串}2.黑客反弹shell的ip flag{ip}3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx4.黑客获取的权限 flag{whoami后的值}
应急响应靶场》》第一章 应急响应-Linux日志分析
guowu666的博客
09-15 375
在 var/log 找到目录 auth.log.1 为日志文件。
玄机靶场——应急响应-vulntarget-K-02
ZhouShaoy的博客
03-22 608
问题二:黑客通过漏洞获取权限后获得的redis密码是多少,讲黑客通过漏洞获取权限后获得的redis密码作为 FLAG 提交 (请记录 REDIS 密码在 vulntarget03 环境中可以使用)黑客通过漏洞获取权限后获得的redis密码是多少,讲黑客通过漏洞获取权限后获得的redis密码作为 FLAG 提交 (请记录 REDIS 密码在 vulntarget03 环境中可以使用)问题一:通过漏洞获取权限,执行uname -a 的结果 flag{Dxxxxxxxxx GNU/Linux}
【玄机】-----应急响应
m0_63138919的博客
05-13 6262
玄机应急响应 题解 一起学习
玄机-第一章 应急响应-Linux日志分析的测试报告
ccc_9wy的博客
01-09 1923
对靶机进行应急响应排查;玄机-应急响应靶场复盘;write up;Linux日志分析;auth.log;黑客入侵;awk;perl;grep。
应急响应-Linux 日志分析
cavathon的博客
03-24 2168
Linux 系统中的日志一般在/var/log使用查看任务计划相关操作使用查看验证和授权信息。
玄机linux应急第一章
01-23
### Linux应急处理 第一章 内容 #### 1. 环境介绍 在进行Linux应急响应时,首先要确认当前系统的环境。对于Debian系统而言,可以通过命令`lsb_release -a`来查看发行版的具体信息[^1]。 ```bash root@ip-10-0-10-2:~# lsb_release -a No LSB modules are available. Distributor ID: Debian Description: Debian GNU/Linux 10 (buster) Release: 10 Codename: buster ``` #### 2. 日志分析基础 日志文件是应急响应中的重要资源之一,在Linux系统中尤其如此。除了常见的syslog外,还存在专门用于记录认证事件的日志文件——`/var/log/auth.log`。此文件不仅限于保存用户的登录尝试情况,还包括了更多类型的账户活动详情[^2]。 为了防止因二进制数据导致的错误输出,在使用工具如`grep`读取这些特殊格式的日志条目时应加上选项`-a`以确保正常解析文本内容: ```bash cat /var/log/auth.log | grep -a "关键词" ``` #### 3. 安全审计案例研究 针对特定场景下的安全审查工作,比如检测是否存在暴力破解攻击行为,则可以利用shell脚本组合多个命令实现自动化统计功能。例如计算某个时间段内成功登陆次数最多的IP地址及其对应的访问频率: ```bash cat /var/log/auth.log* | grep -a "Accepted" | awk '{print $11}' | sort -nr | uniq -c ``` 上述指令将会筛选出所有成功的SSH连接请求,并按照远程主机名或公网IPv4地址分组计数显示出来[^4]。 #### 4. 实战练习提示 当面对实际问题时,可能会遇到各种意外状况,像之前提到过的由于未正确设置参数而引起的程序异常终止等问题都属于常见挑战的一部分。因此建议读者多加实践并熟悉常用调试技巧,以便能够在真实环境中快速定位并解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值