题目问题
1 | 1、提交当天访问次数最多的IP,即黑客IP: |
信息收集
根据题目的问题,得知我们要分析apache日志分析。Apache服务器主要生成两种类型的日志文件:访问日志(access.log)与错误日志(error.log):
访问日志(access.log)记录了所有对Web服务器的请求,包括客户端IP地址、请求时间、请求方式、请求资源、响应状态码、数据传输量等。
错误日志(error.log)记录了服务器在运行过程中遇到的错误和警告信息,包括启动和停止时的信息
同时,题目环境是Apache+Linux ,这样的环境下日志路径一般是以下三种:
1./var/log/httpd/
2./var/log/apache/
3./var/log/apache2/
经过探测我们发现,本环境是第二种情况。且log.1文件里有我们需要的信息。
1 | root@ip-10-0-10-5:/var/log# cd ./a |
问题1-提交当天访问次数最多的IP,即黑客IP
由于access.log 的消息是以 访问者IP+[时间]+“请求头”
我们可以通过awk '{print $1}' |sort|uniq -c 将 ip过滤出来并计数
1 | root@ip-10-0-10-5:/var/log/apache2# cat access.log.1 | awk '{print $1}' |sort|uniq -c |
可以得到出现最多是192.168.200.2 ,6555次
问题2-黑客使用的浏览器指纹是什么,提交指纹的md5
我们可以看到192.168.200.2 对应记录的指纹为:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
对其求md5即可
问题3-查看index.php页面被访问的次数,提交次数
因为用户访问apache的index.php页面,会在日志中留下相应/index.php记录.利用grep "/index.php"提取 “/index.php”出现的次数。
1 | root@ip-10-0-10-5:/var/log/apache2# grep "/index.php" access.log.1 | awk '{print $1}' |uniq -c |
问题4-查看黑客IP访问了多少次,提交次数
在问题1中,我们以通过awk '{print $1}' |sort|uniq -c 将 提取访问次数6555次
1 | $ cat access.log.1 | awk '{print $1}' |sort|uniq -c |
问题5-查看2023年8月03日8时这一个小时内有多少IP访问,提交次数
我们可以用grep "03/Aug/2023:08"来匹配一个小时内的数据。同时利用”uniq -c“或wc来计数
1 |
|
得到结果6591