玄机靶场初体验
前两天大佬给到了一个玄机靶场的邀请码,所以注册进来玩玩。
问题
- 有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割
- ssh爆破成功登陆的IP是多少,如果有多个使用","分割
- 爆破用户名字典是什么?如果有多个使用","分割
- 登陆成功的IP共爆破了多少次
- 黑客登陆主机后新建了一个后门用户,用户名是多少
解题
看到问题大概知道了这是在考察SSH爆破的应急响应:
不同操作系统日志位置不同
- RHEL(例如,centos):/var/log/secure
- Debian(例如,ubuntu): /var/log/auth.log
查看日志。发现除了192.168.200.2在爆破,次数比较少,而且还爆破成功了!
然后看到攻击者创建了一个用户是test2用户。
除了上面的200.2攻击者曾经实施了爆破,发现200.31 200.32两个用户也通过root进行登录过,同时失败了。但是次数比较少的,我不明白怎么能判断是爆破行为 🙁
使用命令:cat auth.log.1 | grep -a "Failed password for root"
通过查看200.2这个用户登陆失败的次数,发现共存在4次。
用户名字典是什么?这个当时没理解,还以为是攻击者使用的字典名(心想这个怎么看呀🧐)。
cat auth.log.1 | grep -a "Failed password"
答案
flag{192.168.200.2}
flag{test2}
flag{192.168.200.2,192.168.200.31,192.168.200.32}
flag{4}
flag{user,hello,root,test3,test2,test1}