第一章 应急响应-Linux日志分析
第一章 应急响应-Linux日志分析
2
3
4
5
6
7
ssh root@IP
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割
2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割
3.爆破用户名字典是什么?如果有多个使用","分割
4.登陆成功的IP共爆破了多少次
5.黑客登陆主机后新建了一个后门用户,用户名是多少
一、查找爆破 SSH 服务的 IP
第一个 Flag 的目标是查找爆破 SSH 服务 Root 账户的 IP,故这里我们需要分析 auth 日志,auth 日志常见于 Debian 系(这台靶机就是 Debian)
此外,Linux 下还有这些日志
这里 auth 日志有两条,分别是
auth.log和auth.log.1,我们的判断基础是这两个文件,其次这里我们需要判断出哪些爆破的是 Root 账号,所以需要搜索 “Failed password for root”cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
* 
* ```
命令分析:
cat auth.log.1:
cat 命令用于显示 auth.log.1 文件的内容。
这里 auth.log.1 是一个日志文件,通常是系统日志的备份文件。
|:
管道符号,用于将前一个命令的输出作为下一个命令的输入。
grep -a "Failed password for root":
grep 命令用于在输入中搜索包含特定模式的行。
-a 选项表示将文件内容视为文本文件(此选项通常在处理二进制文件时使用,但对于纯文本文件,可以省略)。
"Failed password for root" 是搜索模式,即查找所有包含"Failed password for root"的行,这些行表示尝试登录root用户的失败尝试。
awk '{print $11}':
awk 是一个文本处理工具,用于按字段处理文本。
{print $11} 表示打印每行的第11个字段。假设日志格式为标准格式,第11个字段通常是IP地址。
sort:
sort 命令用于对输入行进行排序。
这里是对提取的IP地址进行排序。
uniq -c:
uniq 命令用于删除重复的行。
-c 选项表示对每个唯一的行计数,即统计每个IP地址的出现次数。
sort -nr:
sort 命令再次用于排序。
-n 选项表示按数值进行排序。
-r 选项表示按降序排序。
组合起来,即按出现次数从高到低排序。
more:
more 命令用于分页显示输出。
由于输出可能很长,more 命令允许用户逐页查看结果。
总结
这条命令的具体功能如下:
从 auth.log.1 文件中筛选出所有尝试登录root用户失败的条目。
提取这些条目中的IP地址(假设IP地址是日志行中的第11个字段)。
对IP地址进行排序和去重,并统计每个IP地址的尝试次数。
将结果按尝试次数降序排序,并分页显示。
按照从大到小的顺序排序 Flag,最终 Flag 为
192.168.200.2,192.168.200.31,192.168.200.32,提交记得加上 Flag 格式
二、SSH 爆破成功登陆的IP是多少,如果有多个使用”,”分割
第二个 Flag 是需要寻找爆破成功的 IP,依然是搜索 auth 日志,当 SSH 登录成功时,会回显
Accepted,所以我们在日志文件中匹配这个关键词cat auth.log.1 auth.log| grep -a "Accepted" |awk '{print$11}' | sort | uniq -c | sort -nr |more1
2
3
4
5
6
7
8
9
10
11
12
13
* 
2. 匹配到一个IP成功登录SSH的,提交注意flag格式
#### **三、爆破用户名字典是什么?**
1. 第三个 Flag 要求我们找到爆破时使用的**用户名**字典,也就是说找到 SSH 尝试登录过哪些用户名,`perl`命令接受了`grep`的查询结果,之后匹配 “for” 和 “from” 之间的任何字符(用户名),最终 Flag 拼接后为`user,hello,root,test3,test2,test1`
* ```
cat /var/log/auth.log.1 /var/log/auth.log | grep -a "Failed password" | perl -e 'while($_=<>){ /for (.*?) from/; print "$1\n"; }' | uniq -c | sort -nr命令作用逐段分析: 1️⃣ cat /var/log/auth.log.1 /var/log/auth.log 合并当前和历史的 SSH 登录日志文件 通常 /var/log/auth.log 记录的是 SSH 登录/失败/验证信息 .1 是上一个轮转的旧日志 2️⃣ grep -a "Failed password" 过滤出登录失败的日志行 如: nginx 复制 编辑 Failed password for root from 192.168.1.100 port 3456 ssh2 3️⃣ perl -e 'while($_=<>){ /for (.*?) from/; print "$1\n"; }' 用 Perl 正则提取出尝试登录失败的 用户名 正则 /for (.*?) from/ 匹配: for root from 1.2.3.4 → 捕获 root 输出所有用户名(每个一行) 4️⃣ uniq -c 统计每个用户名出现的次数 例如: bash 复制 编辑 15 root 3 admin 2 test 5️⃣ sort -nr 将这些用户名按照失败次数从大到小排序1
2
3
4
5
6
7
8
9
#### **四、成功登录 root 用户的 ip 一共爆破了多少次**
1. 查找刚刚那个成功
* ```
cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more
五、黑客登陆主机后新建了一个后门用户,用户名是多少
继续对 auth 日志进行审计,查找创建新用户的行为
使用
grep命令搜索与创建用户相关的关键字,如new user。这样可以找到所有新建用户的日志条目。cat /var/log/auth.log.1 /var/log/auth.log | grep -a "new user"
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 0xMouise!
相关推荐
2025-09-16
日志分析-Tomcat日志分析
日志分析-Tomcat日志分析1、Tomcat日志所在的绝对路径是? 2、攻击者对某网站进行了口令爆破。请你判断口令成功匹配的请求的响应码是? 3、攻击者向admin.jsp的管理员留言板界面发送了恶意JS代码从而构成了存储型XSS。已知攻击者试图盗取管理员cookie,并将其发送至其本地服务器上。请你判断其服务器上用于盗取cookie而监听的端口是? 4、攻击者利用执行系统命令的参数是? 5、攻击者通过某种手段遗留了后门文件,请你找到该文件并按需提交其文件中的flag 1、Tomcat日志所在的绝对路径是?在C盘打开就能看到一个server点进去就找到日志路径了 1flag{C:\server\apache-tomcat-11.0.5\logs} 2、攻击者对某网站进行了口令爆破。请你判断口令成功匹配的请求的响应码是?我们查看tomcat日志,找到这个最大的日志文件 拉倒最下面,看到黑客对网站爆破最后一条日志的请求状态码是302,就是这个了 1flag{302} 3、攻击者向admin.jsp的管理员留言板界面发送了恶意JS代码...
2025-09-16
日志分析-ssh日志分析
日志分析-ssh日志分析题目: 1、可以登录 SSH 的账号数量是多少 2、SSH日志中登录成功的日志条数是多少(去除自己登陆产生的两次) 3、SSH日志中登录成功次数最多的用户的用户名是什么 4、SSH日志中登录失败次数最多的用户以及登录使用的ip是什么(flag:flag{用户名,ip}) 1、可以登录 SSH 的账号数量是多少这里直接查看ssh的服务配置文件/etc/ssh/sshd_config 是 SSH 服务端配置文件,用于控制 SSH 服务(sshd)的各种行为。 1cat /etc/ssh/sshd_config AllowGroups SSHD_USER root:表示只有属于 SSHD_USER 组或 root 用户所在组的用户才可以登录 SSH。 其它用户 无论是否存在 shell,也无法登录 SSH,除非属于上面两个组之一 下一步我们查看所属组的用户 1cat /etc/group 可以看到只有两个用户属于SSHD_USER组一个是toor 另一个是root 所以flag{2} 常见配置...
2025-09-16
第一章日志分析-apache日志分析
第一章日志分析-apache日志分析123451、提交当天访问次数最多的IP,即黑客IP:2、黑客使用的浏览器指纹是什么,提交指纹的md5:3、查看包含index.php页面被访问的次数,提交次数:4、查看黑客IP访问了多少次,提交次数:5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数: 1、提交当天访问次数最多的IP,即黑客IP:*已知中间件是Linux上的Apache,常见日志路径一般是: /var/log/apache/ /var/log/apache2/ /var/log/httpd/ 通过命令 ls -lah 查看文件大小 判断日志文件是 access.log 使用命令 cat access.log.1 | awk ‘{print $1}’ | sort |uniq -c | sort -nr 判断访问次数最多的IP地址是:192.168.200.2。 awk 从 access.log 文件中提取每行的第一个字段(即客户端...
2025-09-16
第一章 应急响应-webshell查杀
第一章 应急响应-webshell查杀前置知识什么是应急响应? 简单官方一点:WebShell应急响应是指在检测到WebShell(恶意Web脚本)攻击后,采取一系列措施来控制、消除威胁,并恢复受影响的系统和服务。WebShell是一种常见的攻击手段,攻击者通过上传或注入恶意脚本到Web服务器上,从而获得对服务器的远程控制权限,而我们需要做的就是找到问题所在根源并且解决掉它 一、手动排查webshell 静态检测 我们可以查找一些特殊后缀结尾的文件。例如:.asp、.php、.jsp、.aspx。然后再从这类文件中查找后门的特征码,特征值,危险函数来查找webshell,例如查找内容含有exec()、eval()、system()的文件。 优点:快速方便,对已知的webshell查找准确率高,部署方便,一个脚本就能搞定。 缺点:漏报率、误报率高,无法查找0day型webshell,而且容易被绕过。 动态检测 webshell执行时刻表现出来的特征,我们称为动态特征。只要我们把webshell特有的HTTP请求/响应做成特征库,加到IDS里面去检测所有的H...
2025-09-16
应急响应常用命令
应急响应常用命令Findfind 是 Linux 中非常强大且常用的命令行工具,用于在目录树中查找文件或目录。它支持按文件名、类型、时间、权限、大小等多种条件查找。 find 基本语法:1find [查找路径] [查找条件] [查找动作] 常用示例:1. 按文件名查找1find /path/to/dir -name "filename.txt" 精确匹配文件名(区分大小写) 1find . -iname "readme.md" 不区分大小写查找 readme.md 文件 2. 查找目录1find . -type d -name "log" 查找当前目录下名为 log 的目录 3. 查找普通文件1find /etc -type f -name "*.conf" 查找 /etc 下所有以 .conf 结尾的配置文件 4. 按修改时间查找1find . -mtime -3 查找3天内修改过的文件(-mtime 单位是天) 1find . -mmin -30 查找3...
2025-09-16
第九章-blueteam 的小心思
第九章-blueteam 的小心思1234567服务器场景操作系统 Linux服务器账号密码 root qi5qaz任务环境说明 注:进去后执行 sed -i 's/Listen 80/Listen 9999/' /etc/apache2/ports.conf && service apache2 restart开放题目 漏洞修复 题目; 1、攻击者通过什么密码成功登录了网站的后台?提交密码字符串的小写md5值,格式flag{md5}。 2、攻击者在哪个PHP页面中成功上传了后门文件?例如upload.php页面,上传字符串”upload.php”的小写md5值,格式flag{md5}。 3、找到攻击者上传的webshell文件,提交该文件的小写md5值,格式flag{md5}。 4、攻击者后续又下载了一个可执行的后门程序,提交该文件的小写md5值,格式flag{md5}。 5、攻击者创建了后门用户的名称是?例如attack恶意用户,上传字符串”attack”的小写md5值,格式flag{md5}。 6、攻击者创建了一个持久化的...
