玄机-第二章日志分析-apache日志分析

前言

出息了，这回0元玩玄机了，因为只是日志分析，赶紧导出来就关掉（五分钟内不扣金币）
日志分析只要会点正则然后配合Linux的命令很快就完成这题目了，非应急响应.

简介

账号密码 root apacherizhi
ssh root@IP
1、提交当天访问次数最多的IP，即黑客IP：
2、黑客使用的浏览器指纹是什么，提交指纹的md5：
3、检察index.php页面被访问的次数，提交次数：
4、检察黑客IP访问了多少次，提交次数：
5、检察2023年8月03日8时这一个小时内有多少IP访问，提交次数:

应急开始

准备工作

• 找到apache的日志文件：/var/log/apache2/access.log (在题目靶机中日志文件为/var/log/apache2/access.log.1)
  
• 迅速将文件导出来，还是心疼我的金币，不要浪费了：scp -r root@ip:/var/log/apache2/ /tmp/
  或者你可以使用xftp等等攻击直接导出来。
  
• 我这里其实准备了360星图的工具，在真实的日志分析中会比力有效，我们这里根据题目要求来找flag的话其实Linux指令已经完全够用完成我们的任务了。
  下面还是附上我星图扫完后的html效果吧，不得不说这界面做的真好看啊。
  

步骤 1

1、提交当天访问次数最多的IP，即黑客IP：

• 找到apache的日志文件
  1. cd /var/log/apache2 中的 access.log.1文件就是题目保存下来的日志文件

  复制代码
• 使用Linux命令直接梭哈，直接就知道谁人是访问次数多的ip了
  1. awk '{print $1}' /var/log/apache2/access.log.1 | uniq -c | sort -n

  复制代码
  
  
  
• flag为：
  flag{192.168.200.2}
  

步骤 2

2、黑客使用的浏览器指纹是什么，提交指纹的md5：

• 已知黑客ip了，grep根据ip筛选日志记录即可知道，但是这里我在观察的时间发现这个黑客ip还使用了Firefox，你直接grep Firefox可以或许筛选出来黑客ip的，所以假如不确定就两个ip都提交一下即可。
  1. grep -Ea "192.168.200.2" /var/log/apache2/access.log.1

  复制代码
  
  
  
• 指纹为：Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
  flag为指纹的md5值
  flag{2d6330f380f44ac20f3a02eed0958f66}
  

步骤 3

3、检察index.php页面被访问的次数，提交次数：

• 坑点：注意筛选的时间不要直接 grep 'index.php'，因为黑客大概在访问的时间访问的index.php前缀还有，好比xxxindex.php这种也能筛选出来，如许的话你的index.php访问次数就不准确了，所以我们应该加一个字符限定就是反斜杠 /
  1. grep -Ea '/index.php' /var/log/apache2/access.log.1 | wc -l #wc是计算行数的

  复制代码
  
  
  
• flag为：
  flag{27}
  

步骤 4

4、检察黑客IP访问了多少次，提交次数：

• 由于已知黑客ip，所以直接过滤日志信息即可
  （这里有一个坑，我们在过滤的时间记得精准一下，ip后面的两个横杠记得加上去筛选- -，否则一些日志记录中也会掷中你的规则，那就大概统计的数目不精准）
  1. grep -Ea "^192.168.200.2 - -" /var/log/apache2/access.log.1 | wc -l

  复制代码
  
  
  
• flag为：
  flag{6555}
  

步骤 5

5、检察2023年8月03日8时这一个小时内有多少IP访问，提交次数:

• apache的日志记录时间格式是日月年时分秒
  
  
  
  
• 还是直接上Linux命令即可筛选出来
  1. grep -Ea "^[0-9]+.*+03/Aug/2023:[08|09]" /var/log/apache2/access.log.1 | awk '{print $1}' | uniq -c | wc -l

  复制代码
  
  
  
• flag为：
  flag{5}
  

总结

结果：
flag{192.168.200.2}
flag{2d6330f380f44ac20f3a02eed0958f66}
flag{27}
flag{6555}
flag{5}
本次日志分析相对来说还是比力简朴和快速，没啥可以说的，对Linux的一些指令更加熟悉了，同时也发现Linux里面的一些命令工具其实就可以或许直接充当日志分析了。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。