个人中心
文章发布
退出
作者热门文章
- VisualStudio2022插件的安装及使用-编程手把手系列文章
- pprof-在现网场景怎么用
- C#实现的下拉多选框,下拉多选树,多级节点
- 【学习笔记】基础数据结构:猫树
58
4
又花了一块rmb玩玄机。。。啥时候才能5金币拿下一个应急靶机,只能说功底还没到家,唯有继续加油了。。.
账号root密码linuxrz ssh root@IP 1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割 2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割 3.爆破用户名字典是什么?如果有多个使用","分割 4.登陆成功的IP共爆破了多少次 5.黑客登陆主机后新建了一个后门用户,用户名是多少 。
下面我遇到比较多的且比较重要的都加深颜色了,其实都很重要,只是作者还没碰到过.
| 日志文件 | 说明 |
|---|---|
| /var/log/cron | 记录了系统定时任务相关的日志 |
| /var/log/cups | 记录打印信息的日志 |
| /var/log/dmesg | 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息 |
| /var/log/mailog | 记录邮件信息 |
| /var/log/message | 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件 |
| /var/log/btmp | 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看 |
| /var/log/lastlog | 记录系统中所有用户最后一次登录时间的日志,这个文件是二进制文件,不能直接vi,而要使用lastlog命令查看 |
| /var/log/wtmp | 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看 |
| /var/log/utmp | 记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询 |
| /var/log/secure | 记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中 |
| /var/log/auth.log | 注明:这个有的Linux系统有,有的Linux系统没有,一般都是/var/log/secure文件来记录居多 |
这里着重了解一下auth.log,因为这个文件给我坑了。。.
auth.log文件在本题目中存储了: 登录成功和失败的信息,即认证过程,还有登录成功后系统账户的活动动作,比如添加用户等等(总之这一个文件就包含了我们整个做题的过程) 。
auth.log 文件主要存储与系统认证和授权相关的日志信息。具体内容包括但不限于以下几类信息:
1:登录和注销活动: 成功和失败的登录尝试 用户注销事件 。
2:认证过程: SSH 登录尝试(成功和失败) 本地控制台登录 Sudo 提权事件(成功和失败) 。
3:安全事件: 无效的登录尝试 错误的密码输入 锁定和解锁屏幕事件 。
4:系统账户活动: 用户添加、删除和修改 组添加、删除和修改 。
5:PAM(Pluggable Authentication Modules)相关信息: 各种 PAM 模块的日志输出,包括认证和会话管理 。
注意,这个也把我坑了!!! 选项通常是为了处理可能包含二进制数据的文件,将它们视为文本文件进行处理,那么也就是说如果你直接cat 该文件没问题,但是你需要对cat出来的文件内容进行处理的话就会报二进制错误,那么也就是说该文件中存在二进制数据的。 为什么会存在二进制数据??可能就是为了坑你,而且我也学到了使用-a这个参数能够避免二进制查看报错.
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割 小到大排序 例如flag{192.168.200.1,192.168.200.2} 。
刚刚已经讲过我被文件坑了,想必如果在不知道auth.log是日志文件的情况下,大家应该会去找 /var/log/secure 这个文件吧。。。 ok ,我们现在明确了ssh爆破的日志记录都在auth.log中 (他这里又一个auth.log.1,查看了一下估计就是备份文件了,那我们这里就是用备份文件) 命令: cat /var/log/auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort -n | uniq -c' 。
解释: grep -a "Failed password for root"是过滤出来登录失败的记录 awk '{print $11}'是将失败每条记录中的ip提取出来(这里就是经验多了就知道,或者你自己慢慢调试,看是第几列就打印第几列) sort -n是将ip进行排序,-n其实你加不加无所谓,反正你调试对了就行,我这个就是加-n就能从小到大排序。 uniq -c就是去重且打印重复次数 。
flag为: flag{192.168.200.2,192.168.200.31,192.168.200.32} 。
2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割 。
命令: grep -a "Accepted " /var/log/auth.log.1 | awk '{print $11}' | uniq -c 。
解释 grep -a "Accepted "就是过滤登录成功的记录 awk '{print $11}' 获取登录ip uniq -c 去重 。
flag为: flag{192.168.200.2} 。
3.爆破用户名字典是什么?如果有多个使用","分割 。
错误示范: 这里本人仅仅打印了第九列,这里其实是不对的,因为无效用户名会导致他出现invalid user xxxx,其实xxxx才是我们要的用户名,所以我下面这种方式就没有不同的用户名都列出来.
正确方式: 这里用到了perl语言,我还没搞懂就不解释了,原理肯定是我想的那样,就是涉及到知识盲区了而已。 命令: cat /var/log/auth.log.1 | grep -a "Failed password" |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr 。
flag为: flag{root,user,hello,test3,test2,test1} 。
4.成功登录 root 用户的 ip 一共爆破了多少次 。
我们已知成功登录root的ip地址是:flag{192.168.200.2} 命令: grep -a "192.168.200.2" /var/log/auth.log.1 | grep -a 'Failed password root' | awk '{print $11}' | uniq -c 。
flag为: flag{4} 。
5.黑客登陆主机后新建了一个后门用户,用户名是多少 。
由于我们现在已经知道了auth.log文件能够记录系统账户活动,那我们直接grep该文件即可,添加用户的命令是net user 。
筛选 net user命令即可 命令: grep -a 'net user' /var/log/auth.log.1 。
flag为: flag{test2} 。
成果: flag{192.168.200.2,192.168.200.31,192.168.200.32} flag{192.168.200.2} flag{root,user,hello,test3,test2,test1} flag{4} flag{test2} 。
通过这日志分析题,了解到了日志文件其实还有一个auth.log的文件日志,不仅仅能够记录认证过程,还能知道系统账户执行了哪些账户操作,还有其他记录类型。 需要注意的是,该文件可能包含一些二进制内容,所以我们grep的时候需要用-a参数进行过滤操作,否则会报错。 总体体验还是挺好的,第二次因为grep报错原因浪费掉了好多时间,差几分钟就要重开第三次,玩的就是心跳啊。。.
最后此篇关于玄机-第一章应急响应-Linux日志分析的文章就讲到这里了,如果你想了解更多关于玄机-第一章应急响应-Linux日志分析的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
58
4
0
我刚刚继承了一个旧的 PostgreSQL 安装,需要进行一些诊断以找出该数据库运行缓慢的原因。在 MS SQL 上,您可以使用 Profiler 等工具来查看正在运行的查询,然后查看它们的执行计划。
将目标从Analytics(分析)导入到AdWords中,然后在Analytics(分析)中更改目标条件时,是否可以通过更改将目标“重新导入”到AdWords,还是可以自动选择? 最佳答案 更改目标值
我正在使用google analytics api来获取数据。我正在获取数据,但我想验证两个参数,它们在特定日期范围内始终为0。我正在获取['ga:transactions']和['ga:goalCo
我使用Google API从Google Analytics(分析)获取数据,但指标与Google Analytics(分析)的网络界面不同。 即:我在2015年3月1日获得数据-它返回综合浏览量79
我在我的Web应用程序中使用sammy.js进行剔除。我正在尝试向其中添加Google Analytics(分析)。我很快找到了following plugin来实现页面跟踪。 我按照步骤操作,页面如
当使用 Xcode 分析 (product>analyze) 时,有没有办法忽略给定文件中的任何错误? 例如编译指示之类的? 我们只想忽略第三方代码的任何警告,这样当我们的代码出现问题时,它对我们
目录 EFK 1. 日志系统 2. 部署ElasticSearch 2.1 创建handless服务 2.2 创建s
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 7年前关闭。 Improve thi
GCC/G++ 是否有可用于输出分析的选项? 能够比较以前的代码与新代码之间的差异(大小、类/结构的大小)将很有用。然后可以将它们与之前的输出进行比较以进行比较,这对于许多目的都是有用的。 如果没有此
我正在浏览 LYAH,并一直在研究处理列表时列表理解与映射/过滤器的使用。我已经分析了以下两个函数,并包含了教授的输出。如果我正确地阅读了教授的内容,我会说 FiltB 的运行速度比 FiltA 慢很
在 MySQL 中可以使用 SET profiling = 1; 设置分析 查询 SHOW PROFILES; 显示每个查询所用的时间。我想知道这个时间是只包括服务器的执行时间还是还包括将结果发送到前
我用 Python 编写了几个用于生成阶乘的模块,我想测试运行时间。我找到了一个分析示例 here我使用该模板来分析我的模块: import profile #fact def main():
前几天读了下mysqld_safe脚本,个人感觉还是收获蛮大的,其中细致的交代了MySQL数据库的启动流程,包括查找MySQL相关目录,解析配置文件以及最后如何调用mysqld程序来启动实例等,有着
上一篇:《人工智能大语言模型起源篇,低秩微调(LoRA)》 (14)Rae 和同事(包括78位合著者!)于2022年发表的《Scaling Language Models: Methods, A
1 内网基础 内网/局域网(Local Area Network,LAN),是指在某一区域内有多台计算机互联而成的计算机组,组网范围通常在数千米以内。在局域网中,可以实现文件管理、应用软件共享、打印机
1 内网基础 内网/局域网(Local Area Network,LAN),是指在某一区域内有多台计算机互联而成的计算机组,组网范围通常在数千米以内。在局域网中,可以实现文件管理、应用软件共享、打印机
我有四列形式的数据。前三列代表时间,value1,value 2。第四列是二进制,全为 0 或 1。当第四列中对应的二进制值为0时,有没有办法告诉excel删除时间、值1和值2?我知道这在 C++ 或
我正在运行一个进行长时间计算的 Haskell 程序。经过一些分析和跟踪后,我注意到以下内容: $ /usr/bin/time -v ./hl test.hl 9000045000050000 Com
我有一个缓慢的 asp.net 程序正在运行。我想分析生产服务器以查看发生了什么,但我不想显着降低生产服务器的速度。 一般而言,配置生产盒或仅本地开发盒是标准做法吗?另外,您建议使用哪些程序来实现这一
我目前正在尝试分析 Haskell 服务器。服务器永远运行,所以我只想要一个固定时间的分析报告。我尝试只运行该程序 3 分钟,然后礼貌地要求它终止,但不知何故,haskell 分析器不遵守术语信号,并
我是一名优秀的程序员,十分优秀!