应急响应-apache日志分析

需求：

• 1、提交当天访问次数最多的IP，即黑客IP：
• 2、黑客使用的浏览器指纹是什么，提交指纹的md5：
• 3、查看index.php页面被访问的次数，提交次数：
• 4、查看黑客IP访问了多少次，提交次数：
• 5、查看2023年8月03日8时这一个小时内有多少IP访问，提交次数:

连接后，判断apache的日志目录，常见目录

• /var/log/httpd/

• /var/log/apache/

• /var/log/apache2/

通过ls可以发现题目的apache日志目录为/var/log/apache2/

1、提交当天访问次数最多的IP，即黑客IP：

ls命令列出详细信息

访问日志：access.log是空日志，备份在access.log.1

错误日志：error.log是空日志，备份在error.log.1

ls -lah

在日志里记录其中可能是:

第一个字段就是ip，用awk命令打出来

192.168.1.100 - - [27/Nov/2024:12:34:56 +0000] "GET /index.html HTTP/1.1" 200 1024 "http://example.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36"

可以使用awk、grep命令过滤统计ip访问次数

cat access.log.1 | awk '{print $1}' | sort | uniq -c | sort -nr

内网192.168.200.2 这小子爆破了6555次

flag{192.168.200.2}

2、黑客使用的浏览器指纹是什么，提交指纹的md5：

找出一条完整记录

cat access.log.1 | grep "192.168.200.2" | tail -n 1

它的浏览器指纹就是md5("Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.360")

192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /id_rsa.pub HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"

flag{811ef4675b962510cfaa35cc277484d3}

3、查看index.php页面被访问的次数，提交次数：

不要搜索index.php，其他目录也可能存在index.php，会增加正确被访问的次数

grep "/index.php" access.log.1 | wc -l

flag{27}

4、查看黑客IP访问了多少次，提交次数：

第一题已经得到次数

flag{6555}

5、查看2023年8月03日8时这一个小时内有多少IP访问，提交次数:

2023年8月03日8时 在日志里的时间格式可能是day/month/year:hour，所以这里是03/Aug/2023:08:

提取统计

cat access.log.1 | grep "03/Aug/2023:08:" | awk '{print $1}' | wc -l

flag{6591}

参考：

• 玄机——第二章 日志分析-apache日志分析 wp (opens new window)
• 第二章-日志分析-apache日志分析-玄机靶场 (opens new window)