玄机-第一章 应急响应-Linux日志分析
前言
又花了一块rmb玩玄机。。。啥时候才能5金币拿下一个应急靶机,只能说功底还没到家,唯有继续加油了。。。
简介
账号root密码linuxrz
ssh root@IP
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割
2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割
3.爆破用户名字典是什么?如果有多个使用","分割
4.登陆成功的IP共爆破了多少次
5.黑客登陆主机后新建了一个后门用户,用户名是多少
应急开始
准备工作
下面我遇到比较多的且比较重要的都加深颜色了,其实都很重要,只是作者还没碰到过。
| 日志文件 | 说明 |
|---|---|
| /var/log/cron | 记录了系统定时任务相关的日志 |
| /var/log/cups | 记录打印信息的日志 |
| /var/log/dmesg | 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息 |
| /var/log/mailog | 记录邮件信息 |
| /var/log/message | 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件 |
| /var/log/btmp | 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看 |
| /var/log/lastlog | 记录系统中所有用户最后一次登录时间的日志,这个文件是二进制文件,不能直接vi,而要使用lastlog命令查看 |
| /var/log/wtmp | 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看 |
| /var/log/utmp | 记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询 |
| /var/log/secure | 记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中 |
| /var/log/auth.log | 注明:这个有的Linux系统有,有的Linux系统没有,一般都是/var/log/secure文件来记录居多 |
查看auth.log文件
这里着重了解一下auth.log,因为这个文件给我坑了。。。
-
auth.log文件在本题目中存储了:
登录成功和失败的信息,即认证过程,还有登录成功后系统账户的活动动作,比如添加用户等等(总之这一个文件就包含了我们整个做题的过程) -
auth.log文件主要存储与系统认证和授权相关的日志信息。具体内容包括但不限于以下几类信息:-
1:登录和注销活动:
成功和失败的登录尝试
用户注销事件 -
2:认证过程:
SSH 登录尝试(成功和失败)
本地控制台登录
Sudo 提权事件(成功和失败) -
3:安全事件:
无效的登录尝试
错误的密码输入
锁定和解锁屏幕事件 -
4:系统账户活动:
用户添加、删除和修改
组添加、删除和修改 -
5:PAM(Pluggable Authentication Modules)相关信息:
各种 PAM 模块的日志输出,包括认证和会话管理
-
grep -a
注意,这个也把我坑了!!!
选项通常是为了处理可能包含二进制数据的文件,将它们视为文本文件进行处理,那么也就是说如果你直接cat 该文件没问题,但是你需要对cat出来的文件内容进行处理的话就会报二进制错误,那么也就是说该文件中存在二进制数据的。
为什么会存在二进制数据??可能就是为了坑你,而且我也学到了使用-a这个参数能够避免二进制查看报错。
步骤 1
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割 小到大排序 例如flag{192.168.200.1,192.168.200.2}
刚刚已经讲过我被文件坑了,想必如果在不知道auth.log是日志文件的情况下,大家应该会去找 /var/log/secure 这个文件吧。。。
ok ,我们现在明确了ssh爆破的日志记录都在auth.log中 (他这里又一个auth.log.1,查看了一下估计就是备份文件了,那我们这里就是用备份文件)
命令: cat /var/log/auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort -n | uniq -c'
-
解释:
grep -a "Failed password for root"是过滤出来登录失败的记录
awk '{print $11}'是将失败每条记录中的ip提取出来(这里就是经验多了就知道,或者你自己慢慢调试,看是第几列就打印第几列)
sort -n是将ip进行排序,-n其实你加不加无所谓,反正你调试对了就行,我这个就是加-n就能从小到大排序。
uniq -c就是去重且打印重复次数 -
flag为:
flag{192.168.200.2,192.168.200.31,192.168.200.32}
步骤 2
2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割
命令: grep -a "Accepted " /var/log/auth.log.1 | awk '{print $11}' | uniq -c
-
解释
grep -a "Accepted "就是过滤登录成功的记录
awk '{print $11}' 获取登录ip
uniq -c 去重 -
flag为:
flag{192.168.200.2}
步骤 3
3.爆破用户名字典是什么?如果有多个使用","分割
-
错误示范:
这里本人仅仅打印了第九列,这里其实是不对的,因为无效用户名会导致他出现invalid user xxxx,其实xxxx才是我们要的用户名,所以我下面这种方式就没有不同的用户名都列出来。
-
正确方式:
这里用到了perl语言,我还没搞懂就不解释了,原理肯定是我想的那样,就是涉及到知识盲区了而已。
命令:cat /var/log/auth.log.1 | grep -a "Failed password" |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr -
flag为:
flag{root,user,hello,test3,test2,test1}
步骤 4
4.成功登录 root 用户的 ip 一共爆破了多少次
-
我们已知成功登录root的ip地址是:flag{192.168.200.2}
命令:grep -a "192.168.200.2" /var/log/auth.log.1 | grep -a 'Failed password root' | awk '{print $11}' | uniq -c -
flag为:
flag{4}
步骤 5
5.黑客登陆主机后新建了一个后门用户,用户名是多少
由于我们现在已经知道了auth.log文件能够记录系统账户活动,那我们直接grep该文件即可,添加用户的命令是net user
-
筛选 net user命令即可
命令:grep -a 'net user' /var/log/auth.log.1 -
flag为:
flag{test2}
总结
成果:
flag{192.168.200.2,192.168.200.31,192.168.200.32}
flag{192.168.200.2}
flag{root,user,hello,test3,test2,test1}
flag{4}
flag{test2}
通过这日志分析题,了解到了日志文件其实还有一个auth.log的文件日志,不仅仅能够记录认证过程,还能知道系统账户执行了哪些账户操作,还有其他记录类型。
需要注意的是,该文件可能包含一些二进制内容,所以我们grep的时候需要用-a参数进行过滤操作,否则会报错。
总体体验还是挺好的,第二次因为grep报错原因浪费掉了好多时间,差几分钟就要重开第三次,玩的就是心跳啊。。。
本文来自博客园,作者:竹等寒,转载请注明原文链接。
