第二章-日志分析-apache日志分析

应急响应

简介

1
2
3
4
5
6
7
8
by:https://xj.edisec.net/challenges/29
账号密码 root apacherizhi
ssh root@IP
1.提交当天访问次数最多的IP,即黑客IP
2.黑客使用的浏览器指纹是什么,提交指纹的md5
3.查看index.php页面被访问的次数,提交次数
4.查看黑客IP访问了多少次,提交次数
5.查看2023年8月03日8时这一个小时内有多少IP访问,提交次数

Apache日志路径一般在:

  • /var/log/apache/access.log
  • /var/log/apache2/access.log
  • /var/log/httpd/access.log

该题Apache日志在/var/log/apache2/access.log
我已经将其下载到本地进行分析

1.提交当天访问次数最多的IP,即黑客IP

awk '{print $1}' access.log.1 |sort|uniq -c|sort -nr

image-20240704143245623

1
2
访问了6555次 根据题意黑客ip为192.168.200.2
flag{192.168.200.2}

2.黑客使用的浏览器指纹是什么,提交指纹的md5

根据上题可知黑客IP

grep "192.168.200.2" access.log.1|awk -F "\"" '{print $6}'|sort|uniq -c

image-20240704152149452

1
2
3
过滤 然后去重 得到两个 md5即可获得flag
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
flag{2d6330f380f44ac20f3a02eed0958f66}

3.查看index.php页面被访问的次数,提交次数

grep "/index.php" access.log.1|wc -l

image-20240704160414582

1
flag{27}

4.查看黑客IP访问了多少次,提交次数

grep -w "192.168.200.2" access.log.1|wc -l

image-20240704165145768

1
2
3
4
第一题其实就已经有了
两次结果不同在于 直接grep 是模糊匹配 含有192.168.200.2
192.168.200.211 也会匹配到  -w 为完全匹配
flag{6555}

5.查看2023年8月03日8时这一个小时内有多少IP访问,提交次数

awk '{print $4,$1}' access.log.1|grep 03/Aug/2023:08 |awk '{print $2}'|sort|uniq

image-20240704170039060

1
flag{5}