文章目录
- 第二章 日志分析-apache日志分析
- 1、提交当天访问次数最多的IP,即黑客IP:
- 2、黑客使用的浏览器指纹是什么,提交指纹的md5:
- 3、查看包含index.php页面被访问的次数,提交次数:
- 4、查看黑客IP访问了多少次,提交次数:
- 5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数:
apache_2">第二章 日志分析-apache日志分析
题目简介
账号密码 root apacherizhi
ssh root@IP
1、提交当天访问次数最多的IP,即黑客IP:
2、黑客使用的浏览器指纹是什么,提交指纹的md5:
3、查看包含index.php页面被访问的次数,提交次数:
4、查看黑客IP访问了多少次,提交次数:
5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数:
1、提交当天访问次数最多的IP,即黑客IP:
要对var/log/apache2/access.log.1日志文件进行分析。
由于数据量很大,直接cat根本不行,但是可以看到每条数据第一个字段就是ip,可以使用awk命令进行过滤ip,结合uniq命令去重,然后使用sort命令排序,搜孙访问次数最多的ip
root@ip-10-0-10-1:/var/log/apache2# awk '{print $1}' /var/log/apache2/access.log.1 | uniq -c | sort -nr
5241 192.168.200.2
763 192.168.200.2
539 192.168.200.2
27 ::1
12 192.168.200.2
5 192.168.200.38
1 192.168.200.48
1 192.168.200.211
1 ::1
1 ::1
1
可以看到出现次数最多的ip为192.168.200.2, 即为答案
命令解析:
awk '{print $1}' /var/log/apache2/access.log.1 | uniq -c | sort -n
awk '{print $1}' /var/log/apache2/access.log.1:提取该文件中每条数据的第一列(即ip)uniq -c:统计每个ip地址出现的次数,输出:出现次数 对应的ip。sort -nr:对提取出的ip地址进行降序排列。
flag{192.168.200.2}
2、黑客使用的浏览器指纹是什么,提交指纹的md5:
浏览器指纹:通过收集和分析浏览器和设备的特征信息,创建一个唯一的标识符,从而识别或跟踪用户。这种技术不仅仅依赖于常规的Cookie,还利用浏览器和设备的多种属性来进行识别。
常见的浏览器指纹:
浏览器类型和版本:使用的浏览器及其版本。
操作系统:设备所运行的操作系统及其版本。
时区:设备的时区设置。
语言和区域设置:浏览器和操作系统的语言设置。
屏幕分辨率和色深:设备屏幕的分辨率和颜色深度。
插件和扩展:已安装的浏览器插件和扩展。
字体:系统上安装的字体。
HTTP头:浏览器在请求时发送的HTTP头信息,包括User-Agent、Accept、Accept-Language等。
Canvas指纹:使用HTML5 Canvas元素绘制图形并分析生成的图像数据,以获取独特的图形渲染特征。
WebGL指纹:利用WebGL的特性,通过绘制3D图形来获取设备的渲染特性。
设备性能特征:CPU、GPU、内存等硬件信息。
使用指纹的目的是:
追踪用户活动:在用户禁用Cookie或使用隐私保护工具时,仍然能够跟踪用户的在线活动。
识别并避开安全系统:通过识别用户的浏览器指纹,可以绕过某些安全系统或反欺诈措施,假装成合法用户进行恶意活动。
目标攻击:了解目标用户的设备和浏览器特性,从而制定更有针对性的攻击策略,比如利用特定浏览器或操作系统的已知漏洞进行攻击。
已经知道黑客ip为192.168.200.2,只需要过滤一下这个ip,查看任意一条日志即可
cat /var/log/apache2/access.log.1 | grep "192.168.200.2 - -"
root@ip-10-0-10-1:/var/log/apache2# cat /var/log/apache2/access.log.1 | grep "192.168.200.2"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /IBMWebAS HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /ice_admin HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /icons HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /icinga/ HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /id_dsa HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /iconset HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /icon HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /id_dsa.ppk HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /id_rsa HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /id_rsa.pub HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
有几千条记录,这里只列举几条,可以看到这里的浏览器指纹是UA头(User-Agent),用于标识客户端的浏览器、操作系统以及相关信息。
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
MD5加密:2D6330F380F44AC20F3A02EED0958F66
flag{2D6330F380F44AC20F3A02EED0958F66}
3、查看包含index.php页面被访问的次数,提交次数:
这里主要使用wc命令进行统计次数,这里要过滤/index.php,前面的斜杠不能省,不然会过滤出xxxindex.php之类的。
root@ip-10-0-10-1:/var/log/apache2# cat /var/log/apache2/access.log.1 | grep "/index.php" | wc -l
27
cat /var/log/apache2/access.log.1 | grep "/index.php" | wc -l
flag{27}
4、查看黑客IP访问了多少次,提交次数:
还是使用wc命令,这里最好在ip后面加上- -,不然有可能有日志记录也会计算在其中
root@ip-10-0-10-1:/var/log/apache2# cat /var/log/apache2/access.log.1 | grep "192.168.200.2 - -" | wc -l
6555
cat /var/log/apache2/access.log.1 | grep "192.168.200.2 - -" | wc -l
flag{6555}
5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数:
先把日期转换成日志中对应的格式03/Aug/2023:08,再进行过滤
root@ip-10-0-10-1:/var/log/apache2# cat /var/log/apache2/access.log.1 | grep "03/Aug/2023:08:" | awk '{print $1}' | sort -nr | uniq -c | wc -l
5
命令解析:
cat /var/log/apache2/access.log.1 | grep "03/Aug/2023:08:" | awk '{print $1}' | sort -nr | uniq -c | wc -l
cat /var/log/apache2/access.log.1:读取 Apache 访问日志文件access.log.1。grep "03/Aug/2023:08:":过滤时间2023年8月03日8时。awk '{print $1}':提取第一列的ip地址。sort -nr:对提取出的ip地址进行降序排列。uniq -c:统计每个ip地址出现的次数,输出:出现次数 对应的ip。wc -l:统计行数,即可确定该时间段,不同 IP 地址的总数量。
flag{5}
