玄机-第一章 应急响应-Linux日志分析

原创 已于 2024-07-20 20:33:06 修改 · 1.1k 阅读 · 32 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #服务器 #网络安全

于 2024-07-15 23:58:15 首次发布

文章目录

前言

又花了一块rmb玩玄机。。。啥时候才能5金币拿下一个应急靶机,只能说功底还没到家,唯有继续加油了。。。

简介

账号root密码linuxrz
ssh root@IP
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用",“分割
2.ssh爆破成功登陆的IP是多少,如果有多个使用”,“分割
3.爆破用户名字典是什么?如果有多个使用”,"分割
4.登陆成功的IP共爆破了多少次
5.黑客登陆主机后新建了一个后门用户,用户名是多少

应急开始

准备工作

下面我遇到比较多的且比较重要的都加深颜色了,其实都很重要,只是作者还没碰到过。

日志文件 说明
/var/log/cron 记录了系统定时任务相关的日志
/var/log/cups 记录打印信息的日志
/var/log/dmesg 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息
/var/log/mailog 记录邮件信息
/var/log/message 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件
/var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看
/var/log/lastlog 记录系统中所有用户最后一次登录时间的日志,这个文件是二进制文件,不能直接vi,而要使用lastlog命令查看
最低0.47元/天 解锁文章
玄机第一章 应急响应-Linux日志分析
weixin_46148739的博客
08-12 708
关注momo安全公众号,私信免费获取玄机邀请码!!!
玄机第一章 应急响应-Linux日志分析
qq_46343633的博客
06-04 2047
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用",“分割2.ssh爆破成功登陆的IP是多少,如果有多个使用”,“分割3.爆破用户名字典是什么?如果有多个使用”,"分割4.登陆成功的IP共爆破了多少次5.黑客登陆主机后新建了一个后门用户,用户名是多少这次靶场是用来确定攻击者的相关信息,以便于后期的溯源和编写应急响应报告。
第一章 应急响应-Linux日志分析
qq_63928796的博客
07-16 539
比较重要的几个日志: 登录失败记录:/var/log/btmp //lastb 最后一次登录:/var/log/lastlog //lastlog 登录成功记录: /var/log/wtmp //last 登录日志记录:/var/log/secure。目前登录用户信息:/var/run/utmp //w、who、users。查看日志配置情况:more /etc/rsyslog.conf。日志默认存放位置:/var/log/创建新用户就会出现new user。登录成功一般就出现root字符。
玄机靶场 - 第一章 应急响应-Linux日志分析
fishfishfishman的博客
08-08 1112
通过手动拼接获取到了爆破的用户名,构成flag提交发现不对,然后还试了是不是对爆破的IP也有要求,又分别构造了几条试了也都不对。最后看了下别人的题解,要求是要统计重复次数并且按照重复次数进行降序排序,我的评价是多此一举,这个答案设计的有点死板。,并且是登陆后随后进行的操作,说明是用的黑客登录成功的Session进行的新增后门用户操作,登录环境没变。,并且是在之前的Session退出后操作的,应该是靶场搭建人员做的维护。后面发现不对,看了下别人的题解说是要获取“登录成功的IP共爆破了。爆破用户名字典是什么?
玄机----第一章 应急响应-Linux日志分析
a666666688的博客
09-26 1369
auth.log.1 文件,是因为系统的一个日志轮换机制,当日志文件达到一定大小或满足特定的时间条件时,auth.log 文件会轮转,旧的文件会被重命名为auth.log.1。linux登录相关的日志存储在**/var/log路径下的secure或auth.log**中。1.有多少IP在爆破主机ssh的root账号,如果有多个使用","分割。1.有多少IP在爆破主机ssh的root账号,如果有多个使用","分割。2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割。如果有多个使用","分割。
应急响应靶场》》第一章 应急响应-Linux日志分析
guowu666的博客
09-15 425
在 var/log 找到目录 auth.log.1 为日志文件。
玄机-第一章 应急响应-Linux日志分析的测试报告
ccc_9wy的博客
01-09 2043
对靶机进行应急响应排查;玄机-应急响应靶场复盘;write up;Linux日志分析;auth.log;黑客入侵;awk;perl;grep。
应急响应-Linux 日志分析
cavathon的博客
03-24 2275
Linux 系统中的日志一般在/var/log使用查看任务计划相关操作使用查看验证和授权信息。
应急响应玄机_Linux后门应急
shao65308的专栏
11-20 1942
10、黑客3s很执着清理痕迹,并做了一个持续删痕迹的手段,请发现手段并给出删除的完整黑客删除命令的md5,如flag{md5(rm -f /var/log/ssh.log >/dev/stdout)}下载/home/user/Noral.so,IDA打开反编译。cat /etc/passwd,发现后门用户。
应急响应-Linux-日志分析
qq_50765147的博客
01-27 1502
Linux系统中的日志一般存放在目录"/var/log"下,具体的日志功能如下。/var/log/wtmp:记录登录进入、退出、数据交换、关机和重启,即last。/var/log/cron:记录与定时任务相关的日志信息。/var/log/messages:记录系统启动后的信息和错误日志。/var/log/apach2/access.log:记录apache的访问日志。/var/log/auth.log:记录系统授权日志,包括用户登录和使用的权限机制等。
玄机-----应急响应-Linux日志分析详解
qq_74483249的博客
06-25 1366
这段Perl代码读取从`grep`传递过来的每一行(`$_=`),并尝试匹配正则表达式`/for(.*?- 使用 `grep` 命令搜索 `/var/log/auth.log.1` 文件中包含 "Failed password for root" 的行。- 使用`grep`命令从`/var/log/auth.log.1`文件中搜索包含“Failed password”的行。- `-c` 选项在输出行前加上该行在输入中出现的次数。- `-c`选项使`uniq`在输出每个唯一项时前面加上它出现的次数。
蓝队应急响应-Linux日志分析及常用命令总结
网络安全
07-12 1598
玄机靶场地址:https://xj.edisec.net/第一章应急响应-Linux日志分析1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割 3.爆破用户名字典是什么?如果有多个使用","分割 4.登陆成功的IP共爆破了多少次 5.黑客登陆主机后新建了一个后门用户,用户名是多少在Linux系统下,日志默认存...
Linux后门应急(超详细)
最新发布
yulin0305的博客
05-26 505
backdoor:x:0:0:root:/root:/bin/bash“这个用户名为“backdoor”,UID和GID都是0,和root用户一样,家目录是`/root`,shell是`/bin/bash`因为普通用户不应该有UID 0,并且家目录也不应该在`/root`下。5.給出使用了/bin/bash 的RCE後門進程名稱+端口號,如進程名稱為ssh鬥,端口號為22,則flag{sshd22}通过 -v /:/mnt,容器内可直接修改宿主机文件(如/etc/passwd、/root/.ssh等)。
玄机-应急平台】第九章-blueteam 的小心思3
Aluxian_的博客
07-19 1979
流量分析学习专栏学习![X] BiliBili:鱼影安全[X] 公众号:鱼影安全[X] 优快云:落寞的魚丶[X] 知识星球:中职-高职-CTF竞赛[X] 信息安全评估(高职)、中职网络安全、金砖比赛、世界技能大赛省选拔选拔赛竞赛培训等欢迎师傅们交流学习~应急响应工程师小 c 被通知服务器有对外链接请求的痕迹,并且提供给了小 c 一段 waf 上截获的数据包,请你分析对应的虚拟机环境跟数据包,找到关键字符串并且尝试修复漏洞。
玄机-Wordpress-应急响应-WP_玄机应急响应,2024年最新难道网络安全真的凉了
2401_83974173的博客
04-14 1333
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。攻击者进行目录扫描时,一定会进行有大量的请求,该请求的特点是发包间隔短,会有大量的 404 回包,有相同的 UA,我们从以上几点去筛选日志,很容易得出答案。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。最后就是大家最关心的网络安全面试题板块。
玄机-linux实战-挖矿
m0_50572593的博客
06-14 969
应急响应工程师在内网服务器发现有台主机 cpu 占用过高,猜测可能是中了挖矿病毒,请溯源分析,提交对应的报告给应急小组 虚拟机账号密码 root websecyjxy web 端口为 8081 1、黑客的IP是? flag格式:flag{黑客的ip地址},如:flag{127.0.0.1} 2、黑客攻陷网站的具体时间是? flag格式:flag{年--日 时:分:秒},如:flag{2023-12-24 22:23:24} 3、黑客上传webshell的名称及密码是? flag格式:flag{黑客上传的w
玄机linux应急第一章
01-23
### Linux应急处理 第一章 内容 #### 1. 环境介绍 在进行Linux应急响应时,首先要确认当前系统的环境。对于Debian系统而言,可以通过命令`lsb_release -a`来查看发行版的具体信息[^1]。 ```bash root@ip-10-0-10-2...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

竹等寒

谢过道友支持,在下就却之不恭了

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值