原创网络安全靶场应急响应

玄机第一章应急响应 Linux日志分析

发表于2024-10-29更新于2025-02-01

字数总计:341阅读时长:1分钟阅读量: 辽宁

网络安全靶场应急响应

玄机第一章应急响应 Linux日志分析

特让他也让2024-10-292025-02-01

简介

账号 root 密码 linuxrz

ssh root@IP

有多少 IP 在爆破主机 ssh 的 root 帐号，如果有多个使用”,”分割
ssh 爆破成功登陆的 IP 是多少，如果有多个使用”,”分割
爆破用户名字典是什么？如果有多个使用”,”分割
登陆成功的 IP 共爆破了多少次
黑客登陆主机后新建了一个后门用户，用户名是多少

WP

首先是查看有多少 IP 在爆破 SSH，我们看日志，位置在 /var/log

我们主要看 auth.log 和 auth.log.1，可能是在备份文件 auth.log.1 里。

SSH 登录爆破，会有关键字 Failed password 和 Accepted 出现，我们进行筛选

1	grep -a "Failed password" auth.log.1

得到 IP 如下

192.168.200.35
192.168.200.32
192.168.200.2
192.168.200.31

提交，失败，重新看题，发现要求的是爆破 root 用户的 IP，没有 192.168.200.35，重新提交，通过。

成功登录的 IP，很明显就是 192.168.200.2。

爆破用户名字典是什么？直接看图就能看出来，test1,test2,test3,root,user,hello

登陆成功的 IP 共爆破了多少次，数数，192.168.200.2 对 root 用户爆破了 4 次

黑客登陆主机后新建了一个后门用户，我们找命令 useradd

1	grep -a "useradd" auth.log.1

新用户是 test2

特让他也让

执戈于晦

原创玄机第一章应急响应 Linux日志分析

打赏作者

感谢你赐予我前进的力量

微信
支付宝

赞赏者名单

因为你们的支持让我意识到写文章的价值🙏

本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自隅见录！

靶场15 应急响应3

喜欢这篇文章的人也看了

玄机第二章日志分析 Apache日志分析

玄机第一章应急响应 Webshell查杀

ATT&CK实战系列 - 红队实战(一)

Hack The Box PermX

Hack The Box BoardLight

ATT&CK实战系列 - 红队实战(二)

评论

匿名评论隐私政策