目录

应急响应-apahce日志分析

# 应急响应-apache日志分析

需求:

  • 1、提交当天访问次数最多的IP,即黑客IP:
  • 2、黑客使用的浏览器指纹是什么,提交指纹的md5:
  • 3、查看index.php页面被访问的次数,提交次数:
  • 4、查看黑客IP访问了多少次,提交次数:
  • 5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数:

连接后,判断apache的日志目录,常见目录

  • /var/log/httpd/

  • /var/log/apache/

  • /var/log/apache2/

通过ls可以发现题目的apache日志目录为/var/log/apache2/

# 1、提交当天访问次数最多的IP,即黑客IP:

ls命令列出详细信息

访问日志:access.log是空日志,备份在access.log.1

错误日志:error.log是空日志,备份在error.log.1

ls -lah
1

在日志里记录其中可能是:

第一个字段就是ip,用awk命令打出来

192.168.1.100 - - [27/Nov/2024:12:34:56 +0000] "GET /index.html HTTP/1.1" 200 1024 "http://example.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36"
1

可以使用awk、grep命令过滤统计ip访问次数

cat access.log.1 | awk '{print $1}' | sort | uniq -c | sort -nr
1

内网192.168.200.2 这小子爆破了6555次

flag{192.168.200.2}

# 2、黑客使用的浏览器指纹是什么,提交指纹的md5:

找出一条完整记录

cat access.log.1 | grep "192.168.200.2" | tail -n 1
1

它的浏览器指纹就是md5("Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.360")

192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /id_rsa.pub HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
1

flag{811ef4675b962510cfaa35cc277484d3}

# 3、查看index.php页面被访问的次数,提交次数:

不要搜索index.php,其他目录也可能存在index.php,会增加正确被访问的次数

grep "/index.php" access.log.1 | wc -l
1

flag{27}

# 4、查看黑客IP访问了多少次,提交次数:

第一题已经得到次数

flag{6555}

# 5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数:

2023年8月03日8时 在日志里的时间格式可能是day/month/year:hour,所以这里是03/Aug/2023:08:

提取统计

cat access.log.1 | grep "03/Aug/2023:08:" | awk '{print $1}' | wc -l
1

flag{6591}

参考:

最后一次更新于: 2024/11/28, 01:09:20