玄机靶场初体验

最新推荐文章于 2025-05-05 22:43:34 发布

Y4y17

最新推荐文章于 2025-05-05 22:43:34 发布

阅读量1k

点赞数 4

分类专栏：应急响应文章标签：安全网络安全 web安全应急响应

本文链接：https://blog.youkuaiyun.com/weixin_44770698/article/details/142257990

版权

应急响应专栏收录该内容

5 篇文章

订阅专栏

前两天大佬给到了一个玄机靶场的邀请码，所以注册进来玩玩。

问题

有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割
ssh爆破成功登陆的IP是多少，如果有多个使用","分割
爆破用户名字典是什么？如果有多个使用","分割
登陆成功的IP共爆破了多少次
黑客登陆主机后新建了一个后门用户，用户名是多少

解题

看到问题大概知道了这是在考察SSH爆破的应急响应：

不同操作系统日志位置不同

RHEL（例如，centos）：/var/log/secure
Debian（例如，ubuntu）: /var/log/auth.log

查看日志。发现除了192.168.200.2在爆破，次数比较少，而且还爆破成功了！

然后看到攻击者创建了一个用户是test2用户。

除了上面的200.2攻击者曾经实施了爆破，发现200.31 200.32两个用户也通过root进行登录过，同时失败了。但是次数比较少的，我不明白怎么能判断是爆破行为 🙁

使用命令：cat auth.log.1 | grep -a "Failed password for root"

通过查看200.2这个用户登陆失败的次数，发现共存在4次。

用户名字典是什么？这个当时没理解，还以为是攻击者使用的字典名（心想这个怎么看呀🧐）。

cat auth.log.1 | grep -a "Failed password"

答案

flag{192.168.200.2}
flag{test2}
flag{192.168.200.2,192.168.200.31,192.168.200.32}
flag{4}
flag{user,hello,root,test3,test2,test1}

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Y4y17

关注关注

4
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

玄机靶场webshell的查杀

来而不往非礼也

05-10

5184

等了好久终于抽到了玄机的靶场邀请码，今天来体验一下，记录下自己的学习过程。靶机账号密码 root xjwebshell1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}2.黑客使用的什么工具的shell github地址的md5 flag{md5}3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx4.黑客免杀马完整路径 md5 flag{md5}

玄机靶场——linux日志分析

来而不往非礼也

05-22

662

今天来继续来玄机靶场的Linux日志分析，再开始前先整理下日志分析一般会用到的语句Linux系统中常见的日志文件包括：/var/log/syslog 检查最近的系统活动/var/log/auth.log（或/var/log/secure）检查登录和认证日志/var/log/messages 检查系统启动和服务日志/var/log/dmesg 分析内核消息/var/log/kern.log 检查计划任务/var/log/daemon.log 检查用户和组的变更。

参与评论您还未登录，请先登录后发表或查看评论

玄机靶场-应急响应WP（详细+个人总结）

2301_79882409的博客

04-18

799

玄机靶场介绍

2401_87519262的博客

01-15

2078

玄机靶场即玄机应急响应靶场平台，是一个专业的网络安全实验平台。

linux实战-黑链——玄机靶场

weixin_47472573的博客

11-24

1183

web站点被挂黑链后的处理方法

redis日志分析——玄机靶场

weixin_47472573的博客

11-18

404

redis日志分析

【应急响应】某变异Webshell流量分析（玄机靶场）

仇辉攻防的博客

03-17

838

给了附件，其它靠渗透进入。

玄机靶场apache日志

来而不往非礼也

05-10

1336

今天主要记录的是玄机靶场第二章apache日志分析，主要内容是日志分析。以下是题目要求账号密码 root apacherizhi1、提交当天访问次数最多的IP，即黑客IP：2、黑客使用的浏览器指纹是什么，提交指纹的md5：3、查看index.php页面被访问的次数，提交次数：4、查看黑客IP访问了多少次，提交次数：5、查看2023年8月03日8时这一个小时内有多少IP访问，提交次数:先用xshell连一下。我们不妨对一些可能出现的高频日志分析的语句进行整理统计访问量最高的IP地址。

玄机靶场应急响应第一章

konpure的博客

12-12

1065

玄机靶场应急响应部分第一章

玄机靶场 第一章 应急响应- Linux入侵排查

qq_46343633的博客

06-04

1622

1.web目录存在木马，请找到木马的密码提交2.服务器疑似存在不死马，请找到不死马的密码提交3.不死马是通过哪个文件生成的，请提交文件名4.黑客留下了木马文件，请找出黑客的服务器ip提交5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交。

玄机靶场 第二章日志分析-mysql应急响应

qq_46343633的博客

06-05

1536

1.黑客第一次写入的shell flag{关键字符串}2.黑客反弹shell的ip flag{ip}3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx4.黑客获取的权限 flag{whoami后的值}

玄机靶场——应急响应-vulntarget-K-02

ZhouShaoy的博客

03-22

616

问题二：黑客通过漏洞获取权限后获得的redis密码是多少，讲黑客通过漏洞获取权限后获得的redis密码作为 FLAG 提交 (请记录 REDIS 密码在 vulntarget03 环境中可以使用)黑客通过漏洞获取权限后获得的redis密码是多少，讲黑客通过漏洞获取权限后获得的redis密码作为 FLAG 提交 (请记录 REDIS 密码在 vulntarget03 环境中可以使用)问题一：通过漏洞获取权限，执行uname -a 的结果 flag{Dxxxxxxxxx GNU/Linux}

玄机靶场 - 第一章 应急响应-Linux日志分析

fishfishfishman的博客

08-08

1019

通过手动拼接获取到了爆破的用户名，构成flag提交发现不对，然后还试了是不是对爆破的IP也有要求，又分别构造了几条试了也都不对。最后看了下别人的题解，要求是要统计重复次数并且按照重复次数进行降序排序，我的评价是多此一举，这个答案设计的有点死板。，并且是登陆后随后进行的操作，说明是用的黑客登录成功的Session进行的新增后门用户操作，登录环境没变。，并且是在之前的Session退出后操作的，应该是靶场搭建人员做的维护。后面发现不对，看了下别人的题解说是要获取“登录成功的IP共爆破了。爆破用户名字典是什么？

第六章流量特征分析-蚁剑流量分析（玄机靶场系列）

最新发布

m0_73062138的博客

05-05

493

text/html。

【玄机靶场】Linux日志分析

yujiahui0203的博客

05-16

2449

from/ 捕获括号中的内容，即登录失败的用户名。这条命令主要是在auth.log.1文件中找到包含“Failed password for root”字符串的一行，从中提取出IP信息，并且对其进行了统计，即爆破次数。这是第一次做应急响应的靶场，也是本小白的第一篇文章，其实也有很多不懂的地方，大多都是在网上查找资料完成的，这其中一些命令我这里说明的不详细，这里有篇文章写的很详细。比较重要的几个文件：登录错误信息（btmp），登录成功（wtmp），最后一次登录（lastlog），登录日志（secure）

玄机靶场 通关笔记

weixin_44807430的博客

05-19

1285

玄机靶场第六章tomcat流量特征分析-常见攻击事件。玄机靶场第三章权限维持-liux权限维持-隐藏。玄机靶场第二章日志分析redis))应急响,玄机靶场第六章流量特征分析-蚁剑流量分析。玄机靶场第五章inux实战-挖矿。玄机靶场linux,入侵分析。玄机靶场apache日志分析。玄机靶场webshell排查。玄机靶场win10等保。玄机靶场mysql应急。

玄机靶场通关教程（一）

ai0070411的博客

03-18

929

你在实战中遇到过哪些狡猾的Webshell？

玄机靶场-蚂蚁爱上树

weixin_42467891的博客

02-23

1643

流量分析

玄机靶场练习-redis应急响应

sucker的博客

03-10

788

4，通过本地 PC SSH到服务器并且溯源分析黑客的用户名，并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。权限为-rwxrwxrwx可能表明被人为更改过。查看系统的认证日志（如/var/log/auth.log或/var/log/secure），寻找异常的登录记录，特别是来自非授权用户或IP的登录尝试。2，查找黑客执行过的恶意脚本文件，通过第一阶段的日志分析和对redis主从复制攻击的了解，攻击者会利用漏洞执行一个.so实现攻击。

玄机靶场fastjson

02-11

### 关于玄机靶场 Fast 的使用教程及相关信息 #### 玄机靶场简介 玄机靶场是一个提供网络安全实验环境的平台，旨在帮助安全研究人员和技术爱好者提升技能。Fast 是该平台上的一种特定挑战或模块，通常涉及快速解决问题的能力。 #### Fast 模块特点 Fast 模块设计用于测试参与者的反应速度和解决实际问题的能力。参与者需要在规定时间内完成一系列任务，这些任务可能涉及到漏洞挖掘、渗透测试以及利用已知的安全缺陷来获取目标系统的控制权[^1]。 #### 使用教程概览为了有效应对 Fast 类型的任务，在进入具体操作之前应当熟悉以下几个方面： - **理解题目背景**：仔细阅读给定的信息，了解所面临的场景是什么样的应用服务（如 Web 应用程序），并识别潜在的风险点。 - **工具准备**：准备好必要的工具集，比如 Burp Suite 用来拦截 HTTP 请求；Metasploit Framework 或者其他自动化攻击框架可以加快进程；还有像 Nmap 这样网络扫描器可以帮助发现开放端口和服务版本等有用情报。 - **实践技巧** - 利用公开资源学习常见漏洞模式及其修复方法； - 掌握如何编写自定义脚本来提高效率，例如 Python 脚本可用于批量处理数据或者执行重复性的动作； - 学会解读日志文件和其他形式的日志记录以追踪异常行为。对于提到的具体命令 `msfvenom` 来说，这是一个强大的 Metasploit 工具，能够生成各种类型的 payload 和 shellcode 。当面对 Linux 平台上的 x86 架构时，可以通过指定参数 `-p linux/x86/exec` 创建一个可执行文件，进而通过远程代码执行获得 Shell 访问权限[^3]。 ```bash msfvenom --platform linux -p linux/x86/exec -f py CMD="/bin/sh" -b '\x09\x0a\x20\x00' -a x86 ``` 此命令将会创建一段适用于 Linux-x86 架构下的 Python 形式的 Payload ，其中设置了坏字符过滤选项 `-b` 来避免某些特殊字节出现在最终输出中影响正常运行。 #### 实战案例分析假设有一个 CMS 系统存在 SQL 注入漏洞，则可以根据上述原则采取行动。首先确认注入点位置，接着尝试构造恶意查询语句绕过验证机制读取数据库敏感信息甚至进一步提权接管服务器。在这个过程中，保持谨慎的态度非常重要，因为任何不当的操作都可能导致不可预见的结果。