当前位置: 首页 > news >正文

玄机——第一章 应急响应-Linux日志分析 wp

简介

账号root密码linuxrz
ssh root@IP
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割
2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割
3.爆破用户名字典是什么?如果有多个使用","分割
4.登陆成功的IP共爆破了多少次
5.黑客登陆主机后新建了一个后门用户,用户名是多少
参考链接
https://blog.csdn.net/administratorlws/article/details/139560740

linux日志

Linux系统中的日志文件通常存储在 /var/log 目录下,常见的日志文件包括:
/var/log/syslog:记录系统的各种信息和错误。
/var/log/auth.log:记录身份验证相关的信息,如登录和认证失败。
/var/log/kern.log:记录内核生成的日志信息。
/var/log/dmesg:记录系统启动时内核产生的消息。
/var/log/boot.log:记录系统启动过程中的消息。
/var/log/messages:记录系统的广泛消息,包括启动和应用程序信息。
/var/log/secure:记录安全相关的消息。
/var/log/httpd/:记录Apache HTTP服务器的访问和错误日志(若安装了Apache)。
/var/log/nginx/:记录Nginx服务器的访问和错误日志(若安装了Nginx)。

1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割

打开题目使用Xshell连接
问题是有多少ip在爆破主机,一般ssh登录记录在/var/log目录
使用cd命令切换到/var/log目录下

cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more
命令解释cat auth.log.1查看日志文件auth.log.1grep -a "Failed password for root"在日志文件中匹配使用密码登录失败的用户-a 将二进制文件当作文本文件处理awk '{print $11}'标准日志输出中,IP地址在第11位字符sort排序uniq -c去重,并且统计每个IP出现的次数,uniq只处理相邻行,使用前要先 sortsort -nr再次排序-n 选项表示按数值进行排序。-r 使用降序排序more分页,防止过长

22624bb3468d7de0473a73e0da66306e
db49765d3792684eaf98abc440342693

flag{192.168.200.2,192.168.200.31,192.168.200.32}

2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割

cat auth.log.1 | grep -a "Accepted " | awk '{print $11}' | sort | uniq -c | sort -nr | more

6915a557c9c656b847526e1fde94d6f9

命令解释grep -a "Accepted "搜索成功认证记录

在Linux系统的认证日志(例如auth.log)中,"Accepted"这个词通常用来标识成功的登录尝试。
当一个用户或者系统通过认证机制成功登录时,相关的日志条目会包含"Accepted"这个词。这包括通过SSH、FTP、sudo等方式的成功登录。

flag{192.168.200.2}

3.爆破用户名字典是什么?如果有多个使用","分割

cat auth.log.1 | grep -a "Failed password" |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

这个命令链的主要作用是分析auth.log.1文件,提取出所有包含"Failed password"字符串的行,这通常表明有失败的登录尝试。
然后,它使用Perl脚本提取出失败尝试的用户名和来源IP地址,统计每个用户名的失败尝试次数,并按照次数降序排列显示结果。

命令解释"Failed password":搜索包含密码失败字符串的行
perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'perl -e执行代码while($_=<>)从每一行执行/for(.*?) from/;使用正则匹配,匹配for和from之间的项,即用户名print "$1\n";输出

b42f912db0abd178448956cb8033dccb

flag{user,hello,root,test3,test2,test1}

4.登陆成功的IP共爆破了多少次

与第一问类似,因为第一问已经统计过了
db49765d3792684eaf98abc440342693

flag{4}

5.黑客登陆主机后新建了一个后门用户,用户名是多少

同样的,需要在auth.log.1文件中寻找

cat auth.log.1 |grep -a "new user"

直接在文件中搜索新用户创建的记录
ce46f220d9fc5fd2c615ada4c1dc174f

http://www.hskmm.com/?act=detail&tid=30377

相关文章:

  • 第四周第五天4.5
  • 深入解析:flutter AudioPlayer的使用问题及处理
  • 11 10.10
  • 12 10.11
  • P3330 [ZJOI2011] 看电影
  • 20232315 2025-2026-1 《网络与系统攻防技术》实验一实验报告
  • 地址
  • CSP-S 2025 提高级模拟赛 Day6 复盘 B.连通子图
  • 新手村程序
  • Android Camera openCamera - 教程
  • 信号与系统
  • 大作业第一阶段验收小组集体加5分 -
  • 业务定义与指标体系搭建
  • Linux使用笔记
  • [Vulhub靶机]W1R3S靶机渗透
  • 基于zynq实现一个边缘识别视频流(预学习HLS篇)
  • 咬鼠
  • 10月13日日记
  • 分享一个知乎高赞回答生成AI指令:让技术人也能写出有深度的回答
  • 实用指南:C语言速成秘籍——循环结构(while、do while、for)和跳转语句(break,continue)
  • 描述https的加密过程
  • CSP-S 2025 提高级模拟赛 Day6 复盘 A.选择方案
  • SSL证书批量申请终极指南:一次搞定所有域名
  • npm install creat-vue命令使用报错解决方法
  • PDF转图片工具:基于PyQt5的完整实现与深度解析 - 详解
  • MongoDB安装及使用
  • 从Gemini Robotics看通用机器人的科技路径
  • 张量的基本操作
  • Windows7 隐藏用户
  • 10 月记录