第二章-日志分析-apache日志分析-玄机靶场

  |  

一个有意思的apache日志分析题目靶场。

题目问题

1
2
3
4
5
1、提交当天访问次数最多的IP,即黑客IP:
2、黑客使用的浏览器指纹是什么,提交指纹的md5:
3、查看index.php页面被访问的次数,提交次数:
4、查看黑客IP访问了多少次,提交次数:
5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数:

信息收集

根据题目的问题,得知我们要分析apache日志分析。Apache服务器主要生成两种类型的日志文件:访问日志(access.log)与错误日志(error.log):

访问日志(access.log)记录了所有对Web服务器的请求,包括客户端IP地址、请求时间、请求方式、请求资源、响应状态码、数据传输量等。
错误日志(error.log)记录了服务器在运行过程中遇到的错误和警告信息,包括启动和停止时的信息
同时,题目环境是Apache+Linux ,这样的环境下日志路径一般是以下三种:

1./var/log/httpd/

2./var/log/apache/

3./var/log/apache2/

经过探测我们发现,本环境是第二种情况。且log.1文件里有我们需要的信息。

1
2
3
4
5
6
root@ip-10-0-10-5:/var/log# cd ./a
amazon/ apache2/ apt/
root@ip-10-0-10-5:/var/log# cd ./apache2/
root@ip-10-0-10-5:/var/log/apache2# ls
access.log access.log.1 error.log error.log.1 other_vhosts_access.log
root@ip-10-0-10-5:/var/log/apache2# cat access.log.1

问题1-提交当天访问次数最多的IP,即黑客IP

由于access.log 的消息是以 访问者IP+[时间]+“请求头”

我们可以通过awk '{print $1}' |sort|uniq -c 将 ip过滤出来并计数

1
2
3
4
5
6
7
8
9
root@ip-10-0-10-5:/var/log/apache2# cat  access.log.1 |  awk '{print $1}' |sort|uniq -c
6555 192.168.200.2
1 192.168.200.211
5 192.168.200.38
1 192.168.200.48
29 ::1

sort:顺序排序
uniq -c:统计出现的次数,并将其前缀显示到每行的开头。

可以得到出现最多是192.168.200.2 ,6555次

问题2-黑客使用的浏览器指纹是什么,提交指纹的md5

我们可以看到192.168.200.2 对应记录的指纹为:

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36

对其求md5即可

image-20240616210954034

问题3-查看index.php页面被访问的次数,提交次数

因为用户访问apache的index.php页面,会在日志中留下相应/index.php记录.利用grep "/index.php"提取 “/index.php”出现的次数。

1
2
root@ip-10-0-10-5:/var/log/apache2# grep "/index.php"  access.log.1 | awk '{print $1}' |uniq -c
27 192.168.200.2

问题4-查看黑客IP访问了多少次,提交次数

在问题1中,我们以通过awk '{print $1}' |sort|uniq -c 将 提取访问次数6555次

1
2
3
4
5
6
$  cat  access.log.1 | awk '{print $1}' |sort|uniq -c
6555 192.168.200.2
1 192.168.200.211
5 192.168.200.38
1 192.168.200.48
29 ::1

问题5-查看2023年8月03日8时这一个小时内有多少IP访问,提交次数

我们可以用grep "03/Aug/2023:08"来匹配一个小时内的数据。同时利用”uniq -c“或wc来计数

1
2
3
4
5
6

root@ip-10-0-10-5:/var/log/apache2# grep "03/Aug/2023:08" access.log.1 | awk '{print $2}' |uniq -c
6591 -
root@ip-10-0-10-5:/var/log/apache2#
root@ip-10-0-10-5:/var/log/apache2# grep "03/Aug/2023:08" access.log.1 | wc
6591 151289 1355380

得到结果6591

文章目录
  1. 题目问题
  2. 信息收集
  3. 问题1-提交当天访问次数最多的IP,即黑客IP
  4. 问题2-黑客使用的浏览器指纹是什么,提交指纹的md5
  5. 问题3-查看index.php页面被访问的次数,提交次数
  6. 问题4-查看黑客IP访问了多少次,提交次数
  7. 问题5-查看2023年8月03日8时这一个小时内有多少IP访问,提交次数
|