从此刻开始,知识不断涌进你的脑海。
简介
这一关Linux日志分析非常简单,给了五个目标。
![图片[1]-Linux日志分析-玄机靶场-应急响应-第一章-木兮知识库](https://www.mzsec.cn/wp-content/uploads/2025/01/image-4-1024x348.png)
需要从下面五点找到对应的flag:
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割
2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割
3.爆破用户名字典是什么?如果有多个使用","分割
4.登陆成功的IP共爆破了多少次
5.黑客登陆主机后新建了一个后门用户,用户名是多少Flag One
有多少IP在爆破主机ssh的root帐号
从叙述来看“有多少IP在爆破主机ssh的root帐号”,指的就是ssh登录日志,包括成功的登录、失败的尝试以及其他相关信息。一般在linux中,ssh登录日志位于/var/log目录下,下面是目录下常用日志文件的内容
/var/log/messages — 包括整体系统信息,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也记录在var/log/messages日志中。
/var/log/dmesg — 包含内核缓冲信息(kernel ring buffer)。在系统启动时,会在屏幕上显示许多与硬件有关的信息。可以用dmesg查看它们。
/var/log/auth.log — 包含系统授权信息,包括用户登录和使用的权限机制等。
/var/log/boot.log — 包含系统启动时的日志。
/var/log/daemon.log — 包含各种系统后台守护进程日志信息。
/var/log/dpkg.log – 包括安装或dpkg命令清除软件包的日志。
/var/log/kern.log – 包含内核产生的日志,有助于在定制内核时解决问题。
/var/log/lastlog — 记录所有用户的最近信息。这不是一个ASCII文件,因此需要用lastlog命令查看内容。
/var/log/maillog /var/log/mail.log — 包含来着系统运行电子邮件服务器的日志信息。例如,sendmail日志信息就全部送到这个文件中。
/var/log/user.log — 记录所有等级用户信息的日志。
/var/log/Xorg.x.log — 来自X的日志信息。
/var/log/alternatives.log – 更新替代信息都记录在这个文件中。
/var/log/btmp – 记录所有失败登录信息。使用last命令可以查看btmp文件。例如,”last -f /var/log/btmp | more“。
/var/log/cups — 涉及所有打印信息的日志。
/var/log/anaconda.log — 在安装Linux时,所有安装信息都储存在这个文件中。
/var/log/yum.log — 包含使用yum安装的软件包信息。
/var/log/cron — 每当cron进程开始一个工作时,就会将相关信息记录在这个文件中。
/var/log/secure — 包含验证和授权方面信息。例如,sshd会将所有信息记录(其中包括失败登录)在这里。
/var/log/wtmp或/var/log/utmp — 包含登录信息。使用wtmp可以找出谁正在登陆进入系统,谁使用命令显示这个文件或信息等。
/var/log/faillog – 包含用户登录失败信息。此外,错误登录命令也会记录在本文件中。在/var/log目录下找到了auth.log与auth.log.1,发现auth.log里没有什么可用信息,最后在auth.log.1里找到有用的信息,对这句命令进行拆解意思是:
![图片[2]-Linux日志分析-玄机靶场-应急响应-第一章-木兮知识库](https://www.mzsec.cn/wp-content/uploads/2025/01/flag1-1-1024x101.png)
grep -a "Failed password for root" ---> 在auth.log.1文件中匹配"Failed password for root"字符串,-a实际上是将文件内容当做纯文本用于处理二进制文件,这里处理auth.log.1可以忽略使用-a参数
awk '{print $11}' ---> awk在不使用-F参数指定分割符时,默认以空格作为分割符将一行内容分割成X列,$11就是指分割后的第十一列的内容,这里是IP,最后用print打印出第十一列内容
sort ---> 不使用参数,将使用默认方式进行排序
uniq -c ---> 去重,同时统计重复内容出现的次数,打印格式为 次数 重复的内容,这里的重复的内容就是指爆破失败的IP
awk '{print $2}' ---> 打印第二列,就是上面说到的重复的内容,即爆破失败的IP第一个flag为flag{192.168.200.2,192.168.200.31,192.168.200.32}
Flag Two
ssh爆破成功登陆的IP是多少
按照寻找第一个flag的思路,只需要将”Failed password for root”改成”Accepted password for root”,即可找到ssh爆破成功登陆的IP。
![图片[3]-Linux日志分析-玄机靶场-应急响应-第一章-木兮知识库](https://www.mzsec.cn/wp-content/uploads/2025/01/flag2-1024x98.png)
很明显第二个flag就是flag{192.168.200.2}
Flag Three
爆破用户名字典是什么
经过观察,每次用户名爆破都会留下包含”Failed password for invalid user”的日志,这里可以看到hello、test1、test2、test3、user都是字典中的一部分,第一个from是由于攻击者字典第一个是空用户名导致将这条日志后面的from打印出来了。当然最后不能忘了被爆破成功的root用户。
![图片[4]-Linux日志分析-玄机靶场-应急响应-第一章-木兮知识库](https://www.mzsec.cn/wp-content/uploads/2025/01/flag3-1-1024x105.png)
所以第三个flag是flag{hello,test1,test2,test3,user,root}
Flag Four
登陆成功的IP共爆破了多少次
从第二个flag已知爆破成功登录的ip为192.168.200.2,所以可以使用awk命令筛选ip为192.168.200.2爆破失败的日志数量,最后一次是ip成功登录的日志,应当不算在这个ip爆破多少次的范围内。
![图片[5]-Linux日志分析-玄机靶场-应急响应-第一章-木兮知识库](https://www.mzsec.cn/wp-content/uploads/2025/01/flag4-2-1024x29.png)
第四个flag为flag{4}
Flag Five
黑客登陆主机后新建了一个后门用户,用户名是多少
同样可以通过“new user”来筛选新创建的用户日志,这里查出有test2与debian两个账户,但是不能确定两个账户是否都是后门用户。
![图片[6]-Linux日志分析-玄机靶场-应急响应-第一章-木兮知识库](https://www.mzsec.cn/wp-content/uploads/2025/01/flag5-1024x52.png)
进一步查看/etc/passwd以及/etc/shadow两个文件,观察用户具体情况。
![图片[7]-Linux日志分析-玄机靶场-应急响应-第一章-木兮知识库](https://www.mzsec.cn/wp-content/uploads/2025/01/passwd-1024x421.png)
![图片[8]-Linux日志分析-玄机靶场-应急响应-第一章-木兮知识库](https://www.mzsec.cn/wp-content/uploads/2025/01/shadow-1024x426.png)
最后发现新创建并且可以登录的用户只有test2,最后一个flag为flag{test2}。
特别声明:本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。相关资源仅供学习和研究使用,请在下载后24小时内删除。
暂无评论内容