【玄机】日志分析-ssh日志分析
玄机靶场地址:玄机
靶机题目:
1、可以登录 SSH 的账号数量是多少
2、SSH日志中登录成功的日志条数是多少(去除自己登陆产生的两次)
3、SSH日志中登录成功次数最多的用户的用户名是什么
4、SSH日志中登录失败次数最多的用户以及登录使用的ip是什么(flag:flag{用户名,ip})
Flag1
可以登录 SSH 的账号数量是多少
查看 /etc/ssh/sshd_config ssh配置文件
通过配置文件中只允许在 SSHD_USER 组中的用户可进行 ssh 连接
查看用户组配置文件,SSHD_USER 组中只有两个用户,所以该题可以登录的账号数量为2
flag{2}
Flag2
SSH日志中登录成功的日志条数是多少(去除自己登陆产生的两次)
进入日志文件夹,这里首先要将 auth.log.2.gz 解压缩后才可以开始做题
直接筛选登录成功的流量后进行计数
flag{103}
Flag3
SSH日志中登录成功次数最多的用户的用户名是什么
这里我用 awk 筛选登录成功的流量中的用户,可以发现登录成功次数最多的用户数 toor
flag{toor}
Flag4
SSH日志中登录失败次数最多的用户以及登录使用的ip是什么(flag:flag{用户名,ip})
查看所有日志信息,筛选登录失败的流量中用户名那一列,发现 root 用户的数量最多
再筛选 root 用户登录所使用的IP并进行排序
最终得到登录失败最多的用户为 root,使用的ip为 87.163.111.11
flag{root,87.163.111.11}