简介：

账号root 密码linuxrz
ssh root@IP
1.有多少IP在爆破主机ssh的root帐号，如果有多个使用”,”分割 小到大排序 例如flag{192.168.200.1,192.168.200.2}
2.ssh爆破成功登陆的IP是多少，如果有多个使用”,”分割
3.爆破用户名字典是什么？如果有多个使用”,”分割
4.登陆成功的IP共爆破了多少次
5.黑客登陆主机后新建了一个后门用户，用户名是多少

1.

有多少IP在爆破主机ssh的root帐号，如果有多个使用”,”分割 小到大排序 例如flag{192.168.200.1,192.168.200.2}

排查安全日志即可，这里先 uname -a 查一下主机的系统，是Debian，那么安全日志在 /var/log/auth.log ，注意这里有多个日志，故带上 * 通配符操作

因为是看爆破root的IP，所以grep过滤 “Failed password for root” ，然后我们用awk取出 IP 列计数排序即可

最终命令 cat /var/log/auth.log* |grep -a "Failed password for root" |awk '{print $(NF-3)}' |sort -n |uniq

当然针对题目要求，也可以用awk再处理一下 cat /var/log/auth.log* |grep -a "Failed password for root" |awk '{print $(NF-3)}' |sort -n |uniq |awk '{if(NR!=3){printf $0","}else{printf $0}}END{print ""}' ，最终 flag{192.168.200.2,192.168.200.31,192.168.200.32}

‍

2.

ssh爆破成功登陆的IP是多少，如果有多个使用”,”分割

成功登陆日志里会有 “Accepted password” 这样的记录，我们用grep过滤即可，命令cat /var/log/auth.log* |grep -a "Accepted password" |awk '{print $(NF-3)}' |uniq，但是取第一题爆破IP中的，排除自己登陆的IP， flag{192.168.200.2}

‍

3.

爆破用户名字典是什么？如果有多个使用”,”分割

只要用grep筛选 “Failed password” 的记录，然后用awk拿出用户名字段即可，过程有点复杂，而且题目没有说清楚顺序，我的命令是这样的 cat /var/log/auth.log* |grep -a "Failed password" |awk -F'for ' '{print $2}' |awk -F' from' '{print $1}' |awk -F'user ' '{if(NF!=1){print $2}else{print $1}}' |sort -n |uniq -c,输出如下

备注

官方题解的命令：grep -a "Failed password" /var/log/auth.log.2|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

flag{user,hello,root,test3,test2,test1}

‍

4.

成功登录 root 用户的 ip 一共爆破了多少次

跟前面题目差不多，命令 cat /var/log/auth.log* |grep -a "Failed password for root" |awk '{print $(NF-3)}' |sort -n |uniq -c，结合前面的爆破成功IP为192.168.200.2，flag{4}

‍

5.

黑客登陆主机后新建了一个后门用户，用户名是多少

其实cat /etc/passwd |grep "\/bin\/[ba]*sh"筛选出所有用户，挨个提交一下也能试出来 flag{test2}

但是我们还是从日志去看，新增ssh用户日志里会出现”useradd“记录，结合之前爆破登陆成功的黑客主机记录，我们筛选一下即可

最终命令cat /var/log/auth.log* |grep -a "useradd" |grep -a "linux-rz"

‍

备注

最后提一嘴，互联网无时无刻都存在着扫描，这台靶机的日志很容易被这些恶意扫描污染，做的时候要速度快点，被污染了重启开一个靶机即可。

‍