玄机靶场 - 第一章 应急响应-Linux日志分析

已于 2024-08-13 11:29:05 修改
阅读量741 收藏 20
点赞数 9
分类专栏: # 应急靶场 靶场练习 文章标签: linux 网络安全 apache 服务器
于 2024-08-08 23:10:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fishfishfishman/article/details/141038491
版权

题目地址:第一章 应急响应-Linux日志分析 · 玄机 - EDISEC

本次靶场要求提供的flag如下:

  1. 有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割
  2. ssh爆破成功登陆的IP是多少,如果有多个使用","分割
  3. 爆破用户名字典是什么?如果有多个使用","分割
  4. 登陆成功的IP共爆破了多少次
  5. 黑客登陆主机后新建了一个后门用户,用户名是多少

Flag1

有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割

首先查看日志,找到和认证相关的日志

image.png
查看认证日志信息,搜索有没有爆破root账号的日志

cat /var/log/auth.log.1

image.png
提取其中一条爆破失败的日志信息

Aug  1 07:47:22 linux-rz sshd[7503]: Failed password for root from 192.168.200.2 port 46647 ssh2

构造一条语句快速提取爆破root密码的去重IP地址

grep -a "Failed password for root" /var/log/auth.log.1 | awk '{print $11}'| sort | uniq

image.png
拼接成Flag的格式并提交

flag{192.168.200.2,192.168.200.31,192.168.200.32}

Flag2

ssh爆破成功登陆的IP是多少,如果有多个使用","分割

依然是auth.log.1文件,提取登录成功的日志信息

Aug  1 07:47:23 linux-rz sshd[7505]: Accepted password for root from 192.168.200.2 port 46563 ssh2

修改匹配语句,提取IP地址

grep -a "Accepted password for root" /var/log/auth.log.1 | awk '{print $11}'| sort | uniq

发现只有一个IP爆破成功,得到flag

flag{192.168.200.2}

Flag3

爆破用户名字典是什么?如果有多个使用","分割

首先提取一条爆破用户名的日志

Aug  1 07:47:00 linux-rz sshd[7489]: Invalid user hello from 192.168.200.2 port 37653

然后通过指令查询爆破的用户名,指令我没写的太复杂

grep -a "Failed password for" /var/log/auth.log.1 | awk '{print $9, $10, $11}' | uniq

image.png
通过手动拼接获取到了爆破的用户名,构成flag提交发现不对,然后还试了是不是对爆破的IP也有要求,又分别构造了几条试了也都不对

flag{test1,test2,test3,root,user,hello}
flag{test1,test2,test3}
flag{user,hello}
flag{user,hello,root}

最后看了下别人的题解,要求是要统计重复次数并且按照重复次数进行降序排序,我的评价是多此一举,这个答案设计的有点死板

grep -a "Failed password for" /var/log/auth.log.1 | awk '{print $9, $10, $11}' | uniq -c |sort -nr

image.png
最后按降序排序结果得到flag

flag{user,hello,root,test3,test2,test1}

Flag4

登录成功的IP共爆破了多少次?

最开始没理解意思,以为是要获取登录成功的IP192.168.200.2总的爆破次数,统计出来结果是19

grep -a "Failed password for" /var/log/auth.log.1 | grep -a "192.168.200.2"| wc -l

image.png
后面发现不对,看了下别人的题解说是要获取“登录成功的IP共爆破了root用户多少次?”,修改了一下语法查出来是4次

grep -a "Failed password for root" /var/log/auth.log.1 | grep -a "192.168.200.2"| wc -l

image.png
好好好,隐藏条件不说全是吧,最后得到flag

flag{4}

Flag5

黑客登陆主机后新建了一个后门用户,用户名是多少

直接通过指令查看新建了哪些用户,可以看到有两个用户新增

grep -a "new user" auth.log.1

image.png
两个用户名都提交测试了下,正确的后门用户是test2

flag{test2}

说实话有点费解,看了日志感觉debian用户的操作更加可疑一点,下面简单的倒推一下

首先根据日志格式,可以知道爆破root并登录成功时对应的主机名为linux-rz,而新增用户名操作对应的主机名也是linux-rz,并且是登陆后随后进行的操作,说明是用的黑客登录成功的Session进行的新增后门用户操作,登录环境没变

image.png
而新增用户debian操作换了个主机环境,变成了ip-172-31-37-190,并且是在之前的Session退出后操作的,应该是靶场搭建人员做的维护

image.png
最后还有个ip-10-0-10-9的主机名,看了下对应的是我打靶场用的远程登录环境

image.png

白帽阿尔法
关注
专栏目录
Vulnhub靶场实战---DC-7
一期一会的博客
01-18 3270
0x00 环境准备 1.靶场下载官网地址 https://www.vulnhub.com/entry/dc-7,356/ 2.下载完成以后直接导入vm,kali,靶机均使用均使用NAT模式连接, 攻击机:kali 192.168.88.130 靶机:DC-7 192.168.88.133 0x01 信息收集 1.探测88网段主机,使用nmap扫描。 -sn Ping探测扫描主机,不进行端口扫描(测试过对方主机把icmp包都丢弃掉,依然能检测到对方开机状态) -sp 进行Ping扫描 -sA
玄机第一章 应急响应-Linux日志分析
qq_46343633的博客
06-04 1556
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用",“分割2.ssh爆破成功登陆的IP是多少,如果有多个使用”,“分割3.爆破用户名字典是什么?如果有多个使用”,"分割4.登陆成功的IP共爆破了多少次5.黑客登陆主机后新建了一个后门用户,用户名是多少这次靶场是用来确定攻击者的相关信息,以便于后期的溯源和编写应急响应报告。
玄机】-----应急响应-Linux日志分析详解
qq_74483249的博客
06-25 991
这段Perl代码读取从`grep`传递过来的每一行(`$_=`),并尝试匹配正则表达式`/for(.*?- 使用 `grep` 命令搜索 `/var/log/auth.log.1` 文件中包含 "Failed password for root" 的行。- 使用`grep`命令从`/var/log/auth.log.1`文件中搜索包含“Failed password”的行。- `-c` 选项在输出行前加上该行在输入中出现的次数。- `-c`选项使`uniq`在输出每个唯一项时前面加上它出现的次数。
第一章 应急响应-Linux日志分析
qq_63928796的博客
07-16 373
比较重要的几个日志: 登录失败记录:/var/log/btmp //lastb 最后一次登录:/var/log/lastlog //lastlog 登录成功记录: /var/log/wtmp //last 登录日志记录:/var/log/secure。目前登录用户信息:/var/run/utmp //w、who、users。查看日志配置情况:more /etc/rsyslog.conf。日志默认存放位置:/var/log/创建新用户就会出现new user。登录成功一般就出现root字符。
玄机第一章 应急响应-Linux日志分析
最新发布
weixin_46148739的博客
08-12 507
关注momo安全公众号,私信免费获取玄机邀请码!!!
[ 应急响应工具箱 ] Webshell查杀.rar
02-11
[ 应急响应工具箱 ] webshell查杀工具 包含如下文件 Sangfor_Webshell查杀工具 火绒剑独立版 v2021.06.01 d_safe_2.1.7.2_0107 sysdiag-full-5.0.73.1-2023.02.06.1 火绒剑独立版 v2021.06.01
生活与哲学+第一讲+探寻母题的意图+把脉命题的玄机课件--名师微课堂(自制).ppt
11-21
在第一讲中,讲师吴龙军强调了教材的稳定性和变化性,指出2014版教材在保持核心哲学理念不变的基础上,更新了一些表述和内容。例如,强调哲学对具体科学的指导作用,实践与认识的关系,以及量变到质变的过程。同时,...
玄机论坛Msdn5_2016基础课程.pdf
10-18
根据提供的文件信息,“玄机论坛Msdn5_2016基础课程.pdf”,我们可以推断这份文档主要涉及的是玄机论坛所提供的Msdn5-2016基础课程的相关内容。下面将从标题、描述、标签以及部分内容出发,详细阐述可能包含的知识点...
玄机-第一章 应急响应-Linux日志分析
本散修的一些学习心得与笔记,道友请自便。
07-15 933
玄机-第一章 应急响应-Linux日志分析 简介 账号root密码linuxrz ssh root@IP 1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割 2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割 3.爆破用户名字典是什么?如果有多个使用","分割 4.登陆成功的IP共爆破了多少次 5.黑客登陆主机后新建了一个后门用户,用户名是多少
玄机靶场 第一章 应急响应- Linux入侵排查
qq_46343633的博客
06-04 1307
1.web目录存在木马,请找到木马的密码提交2.服务器疑似存在不死马,请找到不死马的密码提交3.不死马是通过哪个文件生成的,请提交文件名4.黑客留下了木马文件,请找出黑客的服务器ip提交5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交。
玄机】-----应急响应
m0_63138919的博客
05-13 4144
玄机应急响应 题解 一起学习
应急响应篇-Linux 日志分析
cavathon的博客
03-24 1870
Linux 系统中的日志一般在/var/log使用查看任务计划相关操作使用查看验证和授权信息。
玄机靶场 - 第一章 应急响应- Linux入侵排查
fishfishfishman的博客
08-08 482
运行后门文件,然后再次查看网络连接,可以看到请求的黑客服务器地址和监听端口,如果是真实环境这一步应该在虚拟机或沙盒中进行,打靶场就暂时不讲究这么多了。文件,而elf文件是Linux系统的可执行文件,类似于Windows的exe,加上这个文件名可以判断这是个后门文件。其实这个文件不算不死马,不死马文件在下面这个flag的解题步骤里。,必须通过查看隐藏文件的指令才能发现,密码是加密的md5值。而在这个文件中,不死马对应的密码也是我们前面得到的md5值。是我们前面提到的隐藏后门文件,而这个后门文件实际是由。
应急响应-Linux-日志分析
qq_50765147的博客
01-27 1163
Linux系统中的日志一般存放在目录"/var/log"下,具体的日志功能如下。/var/log/wtmp:记录登录进入、退出、数据交换、关机和重启,即last。/var/log/cron:记录与定时任务相关的日志信息。/var/log/messages:记录系统启动后的信息和错误日志。/var/log/apach2/access.log:记录apache的访问日志。/var/log/auth.log:记录系统授权日志,包括用户登录和使用的权限机制等。
蓝队应急响应-Linux日志分析及常用命令总结
网络安全
07-12 916
玄机靶场地址:https://xj.edisec.net/第一章应急响应-Linux日志分析1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割 3.爆破用户名字典是什么?如果有多个使用","分割 4.登陆成功的IP共爆破了多少次 5.黑客登陆主机后新建了一个后门用户,用户名是多少在Linux系统下,日志默认存...
玄机靶场应急响应第一章webshell查杀WP
qq_46343633的博客
06-04 1706
靶机账号密码 root xjwebshell1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}2.黑客使用的什么工具的shell github地址的md5 flag{md5}3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx4.黑客免杀马完整路径 md5 flag{md5}
7-14 房号的玄机 (5 分pta
04-06
这句话的意思是:7-14房号的玄机(神秘)是5分钱(指价值很小)。 注:这句话来自中国传统的风水学,认为每个房间都有一定的玄机,即因地制宜、遵循自然规律的布局方式,能够带来吉祥和好运。而5分钱的比喻,则是指这个玄机不太实用或者价值不高。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值