玄机-第一章 应急响应-Linux日志分析

目录

• 前言
• 简介
• 应急开始
  • 准备工作
    • 查看auth.log文件
    • grep -a
  • 步骤 1
  • 步骤 2
  • 步骤 3
  • 步骤 4
  • 步骤 5
• 总结

前言

又花了一块rmb玩玄机。。。啥时候才能5金币拿下一个应急靶机，只能说功底还没到家，唯有继续加油了。。。

简介

账号root密码linuxrz

ssh root@IP

1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割

2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割

3.爆破用户名字典是什么？如果有多个使用","分割

4.登陆成功的IP共爆破了多少次

5.黑客登陆主机后新建了一个后门用户，用户名是多少

应急开始

准备工作

下面我遇到比较多的且比较重要的都加深颜色了，其实都很重要，只是作者还没碰到过。

日志文件	说明
/var/log/cron	记录了系统定时任务相关的日志
/var/log/cups	记录打印信息的日志
/var/log/dmesg	记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息
/var/log/mailog	记录邮件信息
/var/log/message	记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息，如果系统出现问题时，首先要检查的就应该是这个日志文件
/var/log/btmp	记录错误登录日志，这个文件是二进制文件，不能直接vi查看，而要使用lastb命令查看
/var/log/lastlog	记录系统中所有用户最后一次登录时间的日志，这个文件是二进制文件，不能直接vi，而要使用lastlog命令查看
/var/log/wtmp	永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi，而需要使用last命令来查看
/var/log/utmp	记录当前已经登录的用户信息，这个文件会随着用户的登录和注销不断变化，只记录当前登录用户的信息。同样这个文件不能直接vi，而要使用w,who,users等命令来查询
/var/log/secure	记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中
/var/log/auth.log	注明：这个有的Linux系统有，有的Linux系统没有，一般都是/var/log/secure文件来记录居多

查看auth.log文件

这里着重了解一下auth.log，因为这个文件给我坑了。。。

---

• auth.log文件在本题目中存储了：
  
  登录成功和失败的信息，即认证过程，还有登录成功后系统账户的活动动作，比如添加用户等等（总之这一个文件就包含了我们整个做题的过程）

• auth.log 文件主要存储与系统认证和授权相关的日志信息。具体内容包括但不限于以下几类信息：

  • 1:登录和注销活动：
    
    成功和失败的登录尝试
    
    用户注销事件

  • 2:认证过程：
    
    SSH 登录尝试（成功和失败）
    
    本地控制台登录
    
    Sudo 提权事件（成功和失败）

  • 3:安全事件：
    
    无效的登录尝试
    
    错误的密码输入
    
    锁定和解锁屏幕事件

  • 4:系统账户活动：
    
    用户添加、删除和修改
    
    组添加、删除和修改

  • 5:PAM（Pluggable Authentication Modules）相关信息：
    
    各种 PAM 模块的日志输出，包括认证和会话管理

grep -a

注意，这个也把我坑了！！！

选项通常是为了处理可能包含二进制数据的文件，将它们视为文本文件进行处理，那么也就是说如果你直接cat 该文件没问题，但是你需要对cat出来的文件内容进行处理的话就会报二进制错误，那么也就是说该文件中存在二进制数据的。

为什么会存在二进制数据？？可能就是为了坑你，而且我也学到了使用-a这个参数能够避免二进制查看报错。

步骤 1

1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割 小到大排序 例如flag{192.168.200.1,192.168.200.2}

刚刚已经讲过我被文件坑了，想必如果在不知道auth.log是日志文件的情况下，大家应该会去找 /var/log/secure 这个文件吧。。。

ok ，我们现在明确了ssh爆破的日志记录都在auth.log中 （他这里又一个auth.log.1，查看了一下估计就是备份文件了，那我们这里就是用备份文件）

命令： cat /var/log/auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort -n | uniq -c'

• 解释：
  
  grep -a "Failed password for root"是过滤出来登录失败的记录
  
  awk '{print $11}'是将失败每条记录中的ip提取出来(这里就是经验多了就知道，或者你自己慢慢调试，看是第几列就打印第几列)
  
  sort -n是将ip进行排序，-n其实你加不加无所谓，反正你调试对了就行，我这个就是加-n就能从小到大排序。
  
  uniq -c就是去重且打印重复次数

• flag为：
  
  flag{192.168.200.2,192.168.200.31,192.168.200.32}
  
  

步骤 2

2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割

命令： grep -a "Accepted " /var/log/auth.log.1 | awk '{print $11}' | uniq -c

• 解释
  
  grep -a "Accepted "就是过滤登录成功的记录
  
  awk '{print $11}' 获取登录ip
  
  uniq -c 去重

• flag为：
  
  flag{192.168.200.2}
  
  

步骤 3

3.爆破用户名字典是什么？如果有多个使用","分割

• 错误示范：
  
  这里本人仅仅打印了第九列，这里其实是不对的，因为无效用户名会导致他出现invalid user xxxx，其实xxxx才是我们要的用户名，所以我下面这种方式就没有不同的用户名都列出来。
  
  

• 正确方式：
  
  这里用到了perl语言，我还没搞懂就不解释了，原理肯定是我想的那样，就是涉及到知识盲区了而已。
  
  命令： cat /var/log/auth.log.1 | grep -a "Failed password" |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

• flag为：
  
  flag{root,user,hello,test3,test2,test1}
  
  

步骤 4

4.成功登录 root 用户的 ip 一共爆破了多少次

• 我们已知成功登录root的ip地址是：flag{192.168.200.2}
  
  命令： grep -a "192.168.200.2" /var/log/auth.log.1 | grep -a 'Failed password root' | awk '{print $11}' | uniq -c

• flag为：
  
  flag{4}
  
  

步骤 5

5.黑客登陆主机后新建了一个后门用户，用户名是多少

由于我们现在已经知道了auth.log文件能够记录系统账户活动，那我们直接grep该文件即可，添加用户的命令是net user

• 筛选 net user命令即可
  
  命令： grep -a 'net user' /var/log/auth.log.1

• flag为：
  
  flag{test2}
  
  

总结

---

成果：

flag{192.168.200.2,192.168.200.31,192.168.200.32}

flag{192.168.200.2}

flag{root,user,hello,test3,test2,test1}

flag{4}

flag{test2}

---

通过这日志分析题，了解到了日志文件其实还有一个auth.log的文件日志，不仅仅能够记录认证过程，还能知道系统账户执行了哪些账户操作，还有其他记录类型。

需要注意的是，该文件可能包含一些二进制内容，所以我们grep的时候需要用-a参数进行过滤操作，否则会报错。

总体体验还是挺好的，第二次因为grep报错原因浪费掉了好多时间，差几分钟就要重开第三次，玩的就是心跳啊。。。