前言
出息了,這回0元玩玄機了,因為只是日誌分析,趕緊匯出來就關掉(五分鐘內不扣金幣)
日誌分析只要會點正則然後配合Linux的命令很快就完成這題目了,非應急響應.
簡介
賬號密碼 root apacherizhi
ssh root@IP
1、提交當天訪問次數最多的IP,即駭客IP:
2、駭客使用的瀏覽器指紋是什麼,提交指紋的md5:
3、檢視index.php頁面被訪問的次數,提交次數:
4、檢視駭客IP訪問了多少次,提交次數:
5、檢視2023年8月03日8時這一個小時內有多少IP訪問,提交次數:
應急開始
準備工作
- 找到apache的日誌檔案:/var/log/apache2/access.log (在題目靶機中日誌檔案為/var/log/apache2/access.log.1)
- 迅速將檔案匯出來,還是心疼我的金幣,不要浪費了:scp -r root@ip:/var/log/apache2/ /tmp/
或者你可以使用xftp等等攻擊直接匯出來。- 我這裡其實準備了360星圖的工具,在真實的日誌分析中會比較有用,我們這裡根據題目要求來找flag的話其實Linux指令已經完全夠用完成我們的任務了。
下面還是附上我星圖掃完後的html結果吧,不得不說這介面做的真好看啊。
步驟 1
1、提交當天訪問次數最多的IP,即駭客IP:
-
找到apache的日誌檔案
cd /var/log/apache2 中的 access.log.1檔案就是題目儲存下來的日誌檔案 -
使用Linux命令直接梭哈,直接就知道那個是訪問次數多的ip了
awk '{print $1}' /var/log/apache2/access.log.1 | uniq -c | sort -n
-
flag為:
flag{192.168.200.2}
步驟 2
2、駭客使用的瀏覽器指紋是什麼,提交指紋的md5:
- 已知駭客ip了,grep根據ip篩選日誌記錄即可知道,但是這裡我在觀察的時候發現這個駭客ip還使用了Firefox,你直接grep Firefox能夠篩選出來駭客ip的,所以如果不確定就兩個ip都提交一下即可。
grep -Ea "192.168.200.2" /var/log/apache2/access.log.1
- 指紋為:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
flag為指紋的md5值
flag{2d6330f380f44ac20f3a02eed0958f66}
步驟 3
3、檢視index.php頁面被訪問的次數,提交次數:
- 坑點:注意篩選的時候不要直接 grep 'index.php',因為駭客可能在訪問的時候訪問的index.php字首還有,比如xxxindex.php這種也能篩選出來,這樣的話你的index.php訪問次數就不準確了,所以我們應該加一個字元限制就是反斜槓 /
grep -Ea '/index.php' /var/log/apache2/access.log.1 | wc -l #wc是計算行數的
- flag為:
flag{27}
步驟 4
4、檢視駭客IP訪問了多少次,提交次數:
- 由於已知駭客ip,所以直接過濾日誌資訊即可
(這裡有一個坑,我們在過濾的時候記得精準一下,ip後面的兩個橫槓記得加上去篩選- -,否則一些日誌記錄中也會命中你的規則,那就可能統計的數量不精準)grep -Ea "^192.168.200.2 - -" /var/log/apache2/access.log.1 | wc -l
- flag為:
flag{6555}
步驟 5
5、檢視2023年8月03日8時這一個小時內有多少IP訪問,提交次數:
- apache的日誌記錄時間格式是日月年時分秒
- 照樣直接上Linux命令即可篩選出來
grep -Ea "^[0-9]+.*+03/Aug/2023:[08|09]" /var/log/apache2/access.log.1 | awk '{print $1}' | uniq -c | wc -l
- flag為:
flag{5}
總結
成果:
flag{192.168.200.2}
flag{2d6330f380f44ac20f3a02eed0958f66}
flag{27}
flag{6555}
flag{5}
本次日誌分析相對來說還是比較簡單和快速,沒啥可以說的,對Linux的一些指令更加熟悉了,同時也發現Linux裡面的一些命令工具其實就能夠直接充當日誌分析了。