Linux日志简介:
默认存放位置 /var/log/
比较重要的几个文件:登录错误信息(btmp),登录成功(wtmp),最后一次登录(lastlog),登录日志(secure)
账号root密码linuxrz
ssh root@IP
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割
cat /var/log/auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more
这条命令主要是在auth.log.1文件中找到包含“Failed password for root”字符串的一行,从中提取出IP信息,并且对其进行了统计,即爆破次数
flag为flag{192.168.200.2,192.168.200.31,192.168.200.32}
2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割
cat /var/log/auth.log.1 | grep -a "Accepted password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more
和上一个一样的语句,把grep匹配字符串换成了"Accepted password for root"
flag{192.168.200.2}
3.爆破用户名字典是什么?如果有多个使用","分割
cat /var/log/auth.log.1 | grep -a "Failed password" | perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'| uniq -c | sort -nr
逐步解释perl命令,perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}': 这一部分使用 Perl 脚本。-e 选项表示在命令行中提供脚本代码。Perl 脚本的作用是遍历每一行,然后使用正则表达式 /for(.*?) from/ 捕获括号中的内容,即登录失败的用户名。捕获的内容由 $1 引用,然后通过 print "$1\n"; 打印出来,每个用户名占一行
flag{user,hello,root,test3,test2,test1}
4.登陆成功的IP共爆破了多少次
见第一步
flag{4}
5.黑客登陆主机后新建了一个后门用户,用户名是多少
cat /var/log/auth.log.1 |grep -a "new user"
这里就直接在日志文件中,查找"new user"字符串所在的行就可以
flag{test2}
这是第一次做应急响应的靶场,也是本小白的第一篇文章,其实也有很多不懂的地方,大多都是在网上查找资料完成的,这其中一些命令我这里说明的不详细,这里有篇文章写的很详细