玄机——第二章 日志分析-apache日志分析 wp
简介
账号密码 root apacherizhi
ssh root@IP
1、提交当天访问次数最多的IP,即黑客IP:
2、黑客使用的浏览器指纹是什么,提交指纹的md5:
3、查看index.php页面被访问的次数,提交次数:
4、查看黑客IP访问了多少次,提交次数:
5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数:
xshell连接
(1)启动环境获取IP地址
(2) 根据提供的账号密码进行连接
输入账号密码连接成功
步骤
1、提交当天访问次数最多的IP,即黑客IP:
(1)首先需要知道访问最多的ip,我们需要访问日志文件,根据题目得到时apache服务。
常见日志文件位置
- Apache日志
- 访问日志 :默认位置通常是/var/log/apache2/access.log.1(Debian/Ubuntu)或/var/log/httpd/access_log.1(CentOS/RHEL)。
- 错误日志 :默认位置通常是/var/log/apache2/error.log.1(Debian/Ubuntu)或/var/log/httpd/error_log.1(CentOS/RHEL)。
- SSH日志
- 身份验证日志 :通常位于/var/log/auth.log(Debian/Ubuntu)或/var/log/secure(CentOS/RHEL)。
- 系统日志
- 系统日志 :通常位于/var/log/syslog(Debian/Ubuntu)或/var/log/messages(CentOS/RHEL)。
进入/var/log/apache2 日志目录
(2)查看日志文件access.log.1
cat access.log.1
发现大量日志,我们需要找到访问次数最多的IP是比较困难的,所以我们就需要使用命令进行筛选
(3)使用命令进行筛选,这里我们就需要知道有些linux命令
- cut: 这是一个命令,用于从每一行文本中剪切出指定部分。
- -d-: 指定分隔符为 -
- -f 1: 指定要剪切的字段为第一个字段。
- access.log.1: 这是要处理的日志文件的文件名或路径。
- uniq -c: 这个命令会从输入中删除重复的行,并且计算每行重复出现的次数。
- -c: 会在输出中显示每行重复出现的次数。
- sort : 这个命令会对输入进行排序。
- -r: 表示反向排序,即降序排列。
- -n: 表示按照数值大小排序。
- head -20: 最后,这个命令会从排序后的结果中提取前 20 行。
- | : 管道命令符,表示前一项的输出结果作为后一项的输入
最终构成筛选命令
cut -d- -f 1 access.log.1 | uniq -c | sort -rn | head -1
得到flag
flag{192.168.200.2}
2、黑客使用的浏览器指纹是什么,提交指纹的md5:
(1)查看一条攻击者的日志
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /id_dsa.ppk HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
(2)从中得到浏览器指纹
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
在进行md5加密
得到flag
flag{2D6330F380F44AC20F3A02EED0958F66}
3、查看index.php页面被访问的次数,提交次数:
- grep命令筛选 index.php 的访问记录
- 使用 wc -l 命令统计行数
最终构造命令
cat access.log.1 | grep "/index.php" | wc -l
flag{27}
4、查看黑客IP访问了多少次,提交次数:
grep "192.168.200.2" access.log.1 | cut -d' ' -f1 | sort | uniq -c
flag{6555}
5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数:
grep "03/Aug/2023:08" access.log.1 | awk '{print $1}' | sort -nr | uniq -c | wc -l
flag{5}
浙公网安备 33010602011771号