应急靶场(11)：【玄机】日志分析

admin管理员组

文章数量:1794759

应急靶场(11)：【玄机】日志分析

1、提交当天访问次数最多的IP，即黑客IP

已知中间件是Linux上的Apache，常见日志路径一般是：

1. /var/log/apache/
2. /var/log/apache2/
3. /var/log/httpd/

这里定位到日志路径是/var/log/apache2。通过命令ls -lah根据文件大小，判断日志文件是access.log.1，因为access.log的大小是0。

使用命令cat access.log.1 | cut -d ' ' -f 1 | sort | uniq -c | sort -nr得知访问次数最多的IP地址是：192.168.200.2。

flag{192.168.200.2}

2、黑客使用的浏览器指纹是什么，提交指纹的md5

使用命令cat access.log.1 | grep 192.168.200.2 | cut -d '"' -f 6 | sort | uniq -c | sort -nr得到2个浏览器指纹，其中次数最多的是：Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36。

使用命令echo -n "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36" | md5sum计算md5值，得到：2D6330F380F44AC20F3A02EED0958F66。

需要注意的是，echo命令默认情况下会在输出的文本末尾自动添加换行符，这会影响md5值的计算结果，因此echo命令需要带上-n参数，禁止输出换行符，否则计算出的md5值是错误的。

flag{2D6330F380F44AC20F3A02EED0958F66}

3、查看index.php页面被访问的次数，提交次数

使用命令cat access.log.1 | grep ' /index.php '计算访问/index.php页面的次数（grep的/index.php前后都有空格），是2次，但答案不是这个。

使用命令cat access.log.1 | grep '/index.php '计算访问以/index.php结尾的页面的次数（grep的/index.php前面有空格），是24次，但答案不是这个。

使用命令cat access.log.1 | grep '/index.php'计算访问页面、访问页面来源页面（Referer）含有/index.php的次数（grep的/index.php前面都没空格），是27次，答案是这个。

虽然答案是flag{27}，但我觉得真正的答案应该是flag{2}。

4、查看黑客IP访问了多少次，提交次数

在第一题时，得知黑客IP地址是：192.168.200.2。因此访问次数是：6555。

flag{6555}

5、查看2023年8月03日8时这一个小时内有多少IP访问，提交次数

使用命令Aug/2023:08: | cut -d ' ' -f 1 | sort | uniq -c | sort -nr筛选2023年8月03日8时的访问记录的源IP地址，数一数是5个。

flag{5}

本文参与 腾讯云自媒体同步曝光计划，分享自微信公众号。原始发表：2024-07-30，如有侵权请联系 cloudcommunity@tencent 删除浏览器日志日志分析apache黑客

本文标签： 应急靶场(11)玄机日志分析