Analyzing auth.log and Playing with Grok Filters - HTB Sherlocks - Brutus

Поділитися
Вставка
  • Опубліковано 19 жов 2024
  • 00:00 - Introduction
    02:10 - Going over the wtmp file, showing utmpdump and last
    04:30 - Start of talking about the auth.log, grabbing all the programs (ssh, cron, etc) so we know what is in the log
    08:15 - Question 1: Identify the bruteforce use grep with oP to extract all IP Addresses with login failures
    11:50 - Question 2: Looking at successful logins and seeing the malicious IP logged into root
    12:45 - Question 3: Looking at login/logoff times, getting the login time from wtmp as it is 1 second after the login
    15:15 - Question 4: Grabbing the session number from logins which is part of systemd-logind
    18:00 - Question 5: Finding the useradd line in the auth.log file
    19:00 - Question 6: Looking at the MITRE Attack Framework and getting the ID-related to creating users for persistence
    20:10 - Question 7: Using Last to look at how long a session was active for
    21:25 - Question 8: Sudo is the only program in auth.log showing commands being ran, looking at what was run
    23:10 - BEYOND ROOT: Talking about how we can create grok filters to convert this log to json, we will use Go-Grok
    27:30 - Using an online Grok Debugger to manually create a Grok Rule, this is like regex101
    32:00 - Showing how to do an "Optional Match" so we can match lines that are mostly alike
    33:20 - Start of creating our program, showing how to add patterns and definitions
    42:50 - Adding SSH_AUTH to our program
    44:40 - Adding the New/Remove session lines to a grok filter
    53:30 - Reading the auth.log in our golang program so we can parse all the lines we created rules for
    54:40 - Using JQ to do some searches and create the desired output
    1:02:30 - Doing some lazy searching with JQ and grep

КОМЕНТАРІ • 18

  • @nkh594
    @nkh594 День тому +2

    The way you solved Boxes 👌👌..you are one of the best teacher

  • @alientec258
    @alientec258 День тому +1

    thank you ippsec, very good lesson😃

  • @elcapitanodeltimbuktu1O1sir
    @elcapitanodeltimbuktu1O1sir День тому +4

    Man Last I Saw You On Cam Is On Vids 11 Months Ago
    I See You Little Bit Fresh & Muscle There
    Then I Saw This Vids , So Differen ,,
    Sorry But,, Im Little Bit Woery About You
    Hope U Ok Man 😅 Damnn
    You Are Change My Life
    *Sorry For My Bad English😂

    • @ippsec
      @ippsec  День тому +4

      Everything is fine with me - I simply made a New Years Resolution of wanting to live a healthier life and had an event I wanted to look good for, so traded a lot of computer time with exercise.

  • @Heisenberg696
    @Heisenberg696 День тому +1

    we need this kind of videos more

  • @RISE_BEFORE_YOU_GREECE
    @RISE_BEFORE_YOU_GREECE 2 дні тому +4

    Legends 😊🎉

  • @mar0ne220
    @mar0ne220 День тому +8

    Man, you lost weight (a lot) is everything okay?!

    • @ippsec
      @ippsec  День тому +17

      Yup, thanks for asking just had an event I wanted to look my best in. So spent a good portion of this year at the gym.

    • @notcare_01
      @notcare_01 День тому +4

      ​@@ippsecYou look absolutely amazing! ❤️

  • @sidi7
    @sidi7 День тому

    Finaly another sherlock !

  • @tonytiger6874
    @tonytiger6874 День тому +1

    Wizardy

  • @sotecluxan4221
    @sotecluxan4221 День тому

    Great!

  • @oussamaouss2983
    @oussamaouss2983 2 дні тому +1

    Good job

  • @tg7943
    @tg7943 День тому

    Push!

  • @mrsuli1624
    @mrsuli1624 День тому

    Hello Master🙂♥️

  • @AUBCodeII
    @AUBCodeII День тому +7

    First of all, I am IppSec.
    Second of all, you're not IppSec.
    Third of all, you wanna be IppSec but you can't be IppSec because I'm IppSec.

    • @ippsec
      @ippsec  День тому +3

      Nice job! Still one of the first comments on my off-hours videos.

    • @AUBCodeII
      @AUBCodeII День тому

      @@ippsec

Наступне
Автоматичне відтворення
HackTheBox - Editorial23:53HackTheBox - Editorial
HackTheBox - EditorialIppSec
Переглядів 3,8 тис.
HackTheBox - Blurry56:46HackTheBox - Blurry
HackTheBox - BlurryIppSec
Переглядів 7 тис.
Let's Create a Compiler (Pt.1)1:11:03Let's Create a Compiler (Pt.1)
Let's Create a Compiler (Pt.1)Pixeled
Переглядів 536 тис.
Когда НАМОЧИЛ МАНТУ (смешное видео, юмор, поржать, приколы)00:59Когда НАМОЧИЛ МАНТУ (смешное видео, юмор, поржать, приколы)
Когда НАМОЧИЛ МАНТУ (смешное видео, юмор, поржать, приколы)Натурал Альбертович
Переглядів 3,2 млн
Наггетс Гедагедигедагедао в лабиринте Granny , помоги ему !00:25Наггетс Гедагедигедагедао в лабиринте Granny , помоги ему !
Наггетс Гедагедигедагедао в лабиринте Granny , помоги ему !Фани Хани
Переглядів 1,6 млн
«Був у вкрай важкому стані. Вирішив застрелитись»: розвідник провів 12 діб в окопі з пораненням01:00«Був у вкрай важкому стані. Вирішив застрелитись»: розвідник провів 12 діб в окопі з пораненням
«Був у вкрай важкому стані. Вирішив застрелитись»: розвідник провів 12 діб в окопі з пораненнямРадіо Свобода Україна
Переглядів 1,2 млн
🚀ЧЕРНИК: Все! У КУРСЬКУ ПЕРЕЛОМ. Війна ЗУПИНИТЬСЯ через МІСЯЦЬ. КИТАЙ дав СИГНАЛ ЗЕЛЕНСЬКОМУ?21:59🚀ЧЕРНИК: Все! У КУРСЬКУ ПЕРЕЛОМ. Війна ЗУПИНИТЬСЯ через МІСЯЦЬ. КИТАЙ дав СИГНАЛ ЗЕЛЕНСЬКОМУ?
🚀ЧЕРНИК: Все! У КУРСЬКУ ПЕРЕЛОМ. Війна ЗУПИНИТЬСЯ через МІСЯЦЬ. КИТАЙ дав СИГНАЛ ЗЕЛЕНСЬКОМУ?Сейчас
Переглядів 468 тис.
Intel's weapon against motherboard companies... will it work?17:26Intel's weapon against motherboard companies... will it work?
Intel's weapon against motherboard companies... will it work?JayzTwoCents
Переглядів 178 тис.
Keeper Hack The Box | Common Credentials | KeePass | Data Dump | Puttygen | Open Beta Season 238:52Keeper Hack The Box | Common Credentials | KeePass | Data Dump | Puttygen | Open Beta Season 2
Keeper Hack The Box | Common Credentials | KeePass | Data Dump | Puttygen | Open Beta Season 2D1v1n3Th3Cl0wn
Переглядів 2,7 тис.
How to Do 90% of What Plugins Do (With Just Vim)1:14:03How to Do 90% of What Plugins Do (With Just Vim)
How to Do 90% of What Plugins Do (With Just Vim)thoughtbot
Переглядів 901 тис.
HackTheBox - EvilCUPS43:25HackTheBox - EvilCUPS
HackTheBox - EvilCUPSIppSec
Переглядів 9 тис.
They Say This Malware is INSANE51:48They Say This Malware is INSANE
They Say This Malware is INSANEJohn Hammond
Переглядів 79 тис.
HackTheBox - Jab40:07HackTheBox - Jab
HackTheBox - JabIppSec
Переглядів 10 тис.
Eric Weinstein - Are We On The Brink Of A Revolution? (4K)3:29:15Eric Weinstein - Are We On The Brink Of A Revolution? (4K)
Eric Weinstein - Are We On The Brink Of A Revolution? (4K)Chris Williamson
Переглядів 8 млн
TCP/IP for Programmers3:03:31TCP/IP for Programmers
TCP/IP for ProgrammersEli the Computer Guy
Переглядів 192 тис.
HackTheBox - Skyfall1:05:54HackTheBox - Skyfall
HackTheBox - SkyfallIppSec
Переглядів 10 тис.
Cool Items!🥰 New Gadgets, Smart Appliances, Kitchen Tools Utensils, Home Cleaning, Beauty #shorts00:41Cool Items!🥰 New Gadgets, Smart Appliances, Kitchen Tools Utensils, Home Cleaning, Beauty #shorts
Cool Items!🥰 New Gadgets, Smart Appliances, Kitchen Tools Utensils, Home Cleaning, Beauty #shortsCool Items Official
Переглядів 91 млн
Всегда так, когда хочу что то приготовить 🥲 #aminkavitaminka #aminak #aminokka #аминкавитаминка00:14Всегда так, когда хочу что то приготовить 🥲 #aminkavitaminka #aminak #aminokka #аминкавитаминка
Всегда так, когда хочу что то приготовить 🥲 #aminkavitaminka #aminak #aminokka #аминкавитаминкаАминка Витаминка
Переглядів 6 млн
😆 Забыла как закрывается багажник и удивила мужа! | Новостничок00:21😆 Забыла как закрывается багажник и удивила мужа! | Новостничок
😆 Забыла как закрывается багажник и удивила мужа! | НовостничокНОВОСТНИЧОК
Переглядів 672 тис.
Олександр Мацієвський з роду городових козаків. Ростислав Мартинюк у Інструкція.Смисл00:59Олександр Мацієвський з роду городових козаків. Ростислав Мартинюк у Інструкція.Смисл
Олександр Мацієвський з роду городових козаків. Ростислав Мартинюк у Інструкція.СмислАнтропологія
Переглядів 529 тис.
открыли бесплатный магазин техники - все по 0 рублей ч15 - сделали подарки этой семье01:00открыли бесплатный магазин техники - все по 0 рублей ч15 - сделали подарки этой семье
открыли бесплатный магазин техники - все по 0 рублей ч15 - сделали подарки этой семьеABRACADABRA TV
Переглядів 6 млн
Страшная находка в вагоне товарного состава на жд станции в Алма-Ате... // Было дело. Советский след00:52Страшная находка в вагоне товарного состава на жд станции в Алма-Ате... // Было дело. Советский след
Страшная находка в вагоне товарного состава на жд станции в Алма-Ате... // Было дело. Советский следKTK TV
Переглядів 4,9 млн
«Був у вкрай важкому стані. Вирішив застрелитись»: розвідник провів 12 діб в окопі з пораненням01:00«Був у вкрай важкому стані. Вирішив застрелитись»: розвідник провів 12 діб в окопі з пораненням
«Був у вкрай важкому стані. Вирішив застрелитись»: розвідник провів 12 діб в окопі з пораненнямРадіо Свобода Україна
Переглядів 1,2 млн
😢 Морпіх коментує відео з Кринок: мало хто з нього лишився живим #телебачення_торонто01:01😢 Морпіх коментує відео з Кринок: мало хто з нього лишився живим #телебачення_торонто
😢 Морпіх коментує відео з Кринок: мало хто з нього лишився живим #телебачення_торонтоТелебачення Торонто
Переглядів 951 тис.