玄机靶场 - 第一章 应急响应-Linux日志分析

题目地址：第一章 应急响应-Linux日志分析 · 玄机 - EDISEC

本次靶场要求提供的flag如下：

1. 有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割
2. ssh爆破成功登陆的IP是多少，如果有多个使用","分割
3. 爆破用户名字典是什么？如果有多个使用","分割
4. 登陆成功的IP共爆破了多少次
5. 黑客登陆主机后新建了一个后门用户，用户名是多少

Flag1

有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割

首先查看日志，找到和认证相关的日志

查看认证日志信息，搜索有没有爆破root账号的日志

cat /var/log/auth.log.1

提取其中一条爆破失败的日志信息

Aug  1 07:47:22 linux-rz sshd[7503]: Failed password for root from 192.168.200.2 port 46647 ssh2

构造一条语句快速提取爆破root密码的去重IP地址

grep -a "Failed password for root" /var/log/auth.log.1 | awk '{print $11}'| sort | uniq