【玄机靶场】Linux日志分析

最新推荐文章于 2024-08-08 23:10:56 发布
最新推荐文章于 2024-08-08 23:10:56 发布
阅读量2.2k 收藏 27
点赞数 43
文章标签: linux 运维 服务器 web安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yujiahui0203/article/details/138975137
版权

Linux日志简介:

默认存放位置        /var/log/

比较重要的几个文件:登录错误信息(btmp),登录成功(wtmp),最后一次登录(lastlog),登录日志(secure)

账号root密码linuxrz

ssh root@IP

1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割

cat /var/log/auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more

这条命令主要是在auth.log.1文件中找到包含“Failed password for root”字符串的一行,从中提取出IP信息,并且对其进行了统计,即爆破次数

flag为flag{192.168.200.2,192.168.200.31,192.168.200.32}

2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割

cat /var/log/auth.log.1 | grep -a "Accepted password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more

和上一个一样的语句,把grep匹配字符串换成了"Accepted password for root"

flag{192.168.200.2}

3.爆破用户名字典是什么?如果有多个使用","分割

cat /var/log/auth.log.1 | grep -a "Failed password" | perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'| uniq -c | sort -nr

 逐步解释perl命令,perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}': 这一部分使用 Perl 脚本。-e 选项表示在命令行中提供脚本代码。Perl 脚本的作用是遍历每一行,然后使用正则表达式 /for(.*?) from/ 捕获括号中的内容,即登录失败的用户名。捕获的内容由 $1 引用,然后通过 print "$1\n"; 打印出来,每个用户名占一行

flag{user,hello,root,test3,test2,test1}

4.登陆成功的IP共爆破了多少次

见第一步

flag{4}

5.黑客登陆主机后新建了一个后门用户,用户名是多少

cat /var/log/auth.log.1 |grep -a "new user"

这里就直接在日志文件中,查找"new user"字符串所在的行就可以

flag{test2}

这是第一次做应急响应的靶场,也是本小白的第一篇文章,其实也有很多不懂的地方,大多都是在网上查找资料完成的,这其中一些命令我这里说明的不详细,这里有篇文章写的很详细

玄机-应急响应-Linux日志分析 (cyberparterre.top)

YJH_xpath
关注
玄机靶场webshell的查杀
来而不往非礼也
05-10 4093
等了好久终于抽到了玄机靶场邀请码,今天来体验一下,记录下自己的学习过程。靶机账号密码 root xjwebshell1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}2.黑客使用的什么工具的shell github地址的md5 flag{md5}3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx4.黑客免杀马完整路径 md5 flag{md5}
玄机靶场——linux日志分析
来而不往非礼也
05-22 501
今天来继续来玄机靶场Linux日志分析,再开始前先整理下日志分析一般会用到的语句Linux系统中常见的日志文件包括:/var/log/syslog 检查最近的系统活动/var/log/auth.log(或/var/log/secure)检查登录和认证日志/var/log/messages 检查系统启动和服务日志/var/log/dmesg 分析内核消息/var/log/kern.log 检查计划任务/var/log/daemon.log 检查用户和组的变更。
玄机靶场 - 第一章 应急响应-Linux日志分析
最新发布
fishfishfishman的博客
08-08 739
通过手动拼接获取到了爆破的用户名,构成flag提交发现不对,然后还试了是不是对爆破的IP也有要求,又分别构造了几条试了也都不对。最后看了下别人的题解,要求是要统计重复次数并且按照重复次数进行降序排序,我的评价是多此一举,这个答案设计的有点死板。,并且是登陆后随后进行的操作,说明是用的黑客登录成功的Session进行的新增后门用户操作,登录环境没变。,并且是在之前的Session退出后操作的,应该是靶场搭建人员做的维护。后面发现不对,看了下别人的题解说是要获取“登录成功的IP共爆破了。爆破用户名字典是什么?
玄机平台应急响应—Linux日志分析
2301_76227305的博客
05-31 886
在现实中的日志往往会更庞大更复杂,肯定不会像靶机一样光敲命令就完事了。更多的是需要具体情况具体分析。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
玄机靶场apache日志
来而不往非礼也
05-10 1112
今天主要记录的是玄机靶场第二章apache日志分析,主要内容是日志分析。以下是题目要求账号密码 root apacherizhi1、提交当天访问次数最多的IP,即黑客IP:2、黑客使用的浏览器指纹是什么,提交指纹的md5:3、查看index.php页面被访问的次数,提交次数:4、查看黑客IP访问了多少次,提交次数:5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数:先用xshell连一下。我们不妨对一些可能出现的高频日志分析的语句进行整理统计访问量最高的IP地址。
纵横靶场:工控蜜罐日志分析
Zeker62的博客
09-03 522
工控安全分析人员在互联网上部署了工控仿真蜜罐,通过蜜罐可抓取并分析互联网上针对工业资产的扫描行为,将存在高危扫描行为的IP加入防火墙黑名单可有效减少工业企业对于互联网的攻击面。分析出日志中针对西门子私有通信协议扫描最多的IP,分析该扫描组织,Flag为该IP的域名,,flag形式为 flag{}。 拿到日志分析文件,使用paython脚本过滤掉这个文件 使它不重样 import fileinpu...
在线靶场-墨者-电子数据取证1星-日志文件分析溯源(SQL注入IP地址)
weixin_42079912的博客
07-19 396
打开靶场,下载日志文件后打开日志文件。 根据题意我们知道是有sql注入。对于数据库的注入,主要是information_schema表,这里包含了数据库中表结构等关键信息,拖库时非常依赖这个表。 关注敏感系统函数和关键词,如sleep、union和select的语句等。 结合了这么多的元素,都指向了103.8.68.129这个ip,所以这个ip就是我们要找的sql注入ip地址。 将此ip地址输...
玄机论坛Msdn5_2016基础课程.pdf
10-18
根据提供的文件信息,“玄机论坛Msdn5_2016基础课程.pdf”,我们可以推断这份文档主要涉及的是玄机论坛所提供的Msdn5-2016基础课程的相关内容。下面将从标题、描述、标签以及部分内容出发,详细阐述可能包含的知识点...
linux下的webshell查杀工具
04-03
一款好用的linux下的webshell查杀软件。linux下的webshell查杀工具很少,所以这里分享出来。用于发现服务器上的web后门 官方网站地址:https://www.shellpub.com
玄机玄机玄机玄机玄机玄机玄机玄机玄机玄机玄机玄机玄机
06-07
2. **查看日志文件**:通过查看服务器的日志文件来寻找异常行为的线索,如可疑登录尝试、异常访问记录等。 3. **网络连接分析**:使用`netstat -pantu`命令查看服务器的网络连接状态和开放端口,有助于发现非正常...
Vulnhub靶场实战---DC-7
一期一会的博客
01-18 3269
0x00 环境准备 1.靶场下载官网地址 https://www.vulnhub.com/entry/dc-7,356/ 2.下载完成以后直接导入vm,kali,靶机均使用均使用NAT模式连接, 攻击机:kali 192.168.88.130 靶机:DC-7 192.168.88.133 0x01 信息收集 1.探测88网段主机,使用nmap扫描。 -sn Ping探测扫描主机,不进行端口扫描(测试过对方主机把icmp包都丢弃掉,依然能检测到对方开机状态) -sp 进行Ping扫描 -sA
linux 触摸屏程序,触摸屏工作原理以及驱动程序详细分析
weixin_31295867的博客
05-01 1601
编者:这部分还是比较长的,因此没有放在上个移植里面。这里主要说触摸屏的工作原理,以及对上述驱动程序代码的简单分析。分析中参考了网上的很多资料。感谢原作者的无私奉献,因为涉及多篇,在此就没有注出原作的链接。本文分为三个部分,第一部分讲叙硬件知识,包括触摸屏的原理以及SCC2440 SOC 上的触摸屏是如何工作的。第二部分分析输入设备子系统的框架,并进行相应的代码分析。第三部分利用上述的原理来分析mi...
在线靶场-墨者-电子数据取证1星-日志文件分析溯源(做扫描攻击的IP地址)
weixin_42079912的博客
08-09 488
打开靶场网页,下载文件解压并打开。 根据题目得知有人对服务器进行扫描攻击。于是我们打开日志文件进行分析,发现了一个ip连续不断的访问多个不同的文件,同时出现大量的404,而且采用了HEAD的请求方式。根据这三个条件,我们可以得知118.24.15.241这个ip就是对服务器进行扫描攻击的ip。把此ip输入靶场网页即可得到key。 ...
在线靶场-墨者-电子数据取证1星-电子数据取证-日志分析(第1题)
weixin_42079912的博客
08-09 543
打开靶场网页,下载文件并解压。 直接用记事本打开,界面比较乱,而且打开后要等很久才能显示内容,拖动会有卡顿要等一会才显示,不方便分析。 下载Notepad++软件。使用Notepad++软件打开日志文件。 根据题目得知网站被上传木马,上传文件所在文件夹为uploads。 既然是上传就应该是POST的请求方式,而且上传文件夹为uploads。 所以我们可以搜索POST /uploads(post...
玄机靶场 第二章日志分析-mysql应急响应
qq_46343633的博客
06-05 1313
1.黑客第一次写入的shell flag{关键字符串}2.黑客反弹shell的ip flag{ip}3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx4.黑客获取的权限 flag{whoami后的值}
玄机靶场 通关笔记
weixin_44807430的博客
05-19 809
玄机靶场第六章tomcat流量特征分析-常见攻击事件。玄机靶场第三章权限维持-liux权限维持-隐藏。玄机靶场第二章日志分析redis))应急响,玄机靶场第六章流量特征分析-蚁剑流量分析。玄机靶场第五章inux实战-挖矿。玄机靶场linux,入侵分析。玄机靶场apache日志分析玄机靶场webshell排查。玄机靶场win10等保。玄机靶场mysql应急。
玄机靶场-蚂蚁爱上树
weixin_42467891的博客
02-23 1486
流量分析
玄机靶场Linux入侵排查
yujiahui0203的博客
05-17 1171
玄机靶场Linux入侵排查,webshell
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

YJH_xpath

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值