题目地址:第一章 应急响应-Linux日志分析 · 玄机 - EDISEC
本次靶场要求提供的flag如下:
- 有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割
- ssh爆破成功登陆的IP是多少,如果有多个使用","分割
- 爆破用户名字典是什么?如果有多个使用","分割
- 登陆成功的IP共爆破了多少次
- 黑客登陆主机后新建了一个后门用户,用户名是多少
Flag1
有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割
首先查看日志,找到和认证相关的日志
查看认证日志信息,搜索有没有爆破root账号的日志
cat /var/log/auth.log.1
提取其中一条爆破失败的日志信息
Aug 1 07:47:22 linux-rz sshd[7503]: Failed password for root from 192.168.200.2 port 46647 ssh2
构造一条语句快速提取爆破root密码的去重IP地址
grep -a "Failed password for root" /var/log/auth.log.1 | awk '{print $11}'| sort | uniq
拼接成Flag的格式并提交
flag{192.168.200.2,192.168.200.31,192.168.200.32}
Flag2
ssh爆破成功登陆的IP是多少,如果有多个使用","分割
依然是auth.log.1
文件,提取登录成功的日志信息
Aug 1 07:47:23 linux-rz sshd[7505]: Accepted password for root from 192.168.200.2 port 46563 ssh2
修改匹配语句,提取IP地址
grep -a "Accepted password for root" /var/log/auth.log.1 | awk '{print $11}'| sort | uniq
发现只有一个IP爆破成功,得到flag
flag{192.168.200.2}
Flag3
爆破用户名字典是什么?如果有多个使用","分割
首先提取一条爆破用户名的日志
Aug 1 07:47:00 linux-rz sshd[7489]: Invalid user hello from 192.168.200.2 port 37653
然后通过指令查询爆破的用户名,指令我没写的太复杂
grep -a "Failed password for" /var/log/auth.log.1 | awk '{print $9, $10, $11}' | uniq
通过手动拼接获取到了爆破的用户名,构成flag提交发现不对,然后还试了是不是对爆破的IP也有要求,又分别构造了几条试了也都不对
flag{test1,test2,test3,root,user,hello}
flag{test1,test2,test3}
flag{user,hello}
flag{user,hello,root}
最后看了下别人的题解,要求是要统计重复次数并且按照重复次数进行降序排序,我的评价是多此一举,这个答案设计的有点死板
grep -a "Failed password for" /var/log/auth.log.1 | awk '{print $9, $10, $11}' | uniq -c |sort -nr
最后按降序排序结果得到flag
flag{user,hello,root,test3,test2,test1}
Flag4
登录成功的IP共爆破了多少次?
最开始没理解意思,以为是要获取登录成功的IP192.168.200.2
总的爆破次数,统计出来结果是19
grep -a "Failed password for" /var/log/auth.log.1 | grep -a "192.168.200.2"| wc -l
后面发现不对,看了下别人的题解说是要获取“登录成功的IP共爆破了root用户多少次?”,修改了一下语法查出来是4次
grep -a "Failed password for root" /var/log/auth.log.1 | grep -a "192.168.200.2"| wc -l
好好好,隐藏条件不说全是吧,最后得到flag
flag{4}
Flag5
黑客登陆主机后新建了一个后门用户,用户名是多少
直接通过指令查看新建了哪些用户,可以看到有两个用户新增
grep -a "new user" auth.log.1
两个用户名都提交测试了下,正确的后门用户是test2
flag{test2}
说实话有点费解,看了日志感觉debian用户的操作更加可疑一点,下面简单的倒推一下
首先根据日志格式,可以知道爆破root并登录成功时对应的主机名为linux-rz
,而新增用户名操作对应的主机名也是linux-rz
,并且是登陆后随后进行的操作,说明是用的黑客登录成功的Session进行的新增后门用户操作,登录环境没变
而新增用户debian操作换了个主机环境,变成了ip-172-31-37-190
,并且是在之前的Session退出后操作的,应该是靶场搭建人员做的维护
最后还有个ip-10-0-10-9
的主机名,看了下对应的是我打靶场用的远程登录环境