玄机靶场--第二章日志分析-apache日志分析

文章目录

- 第二章日志分析-apache日志分析
- - - 1、提交当天访问次数最多的IP，即黑客IP：
    - 2、黑客使用的浏览器指纹是什么，提交指纹的md5：
    - 3、查看包含index.php页面被访问的次数，提交次数：
    - 4、查看黑客IP访问了多少次，提交次数：
    - 5、查看2023年8月03日8时这一个小时内有多少IP访问，提交次数:

apache_2">第二章日志分析-apache日志分析

题目简介

账号密码 root apacherizhi
ssh root@IP
1、提交当天访问次数最多的IP，即黑客IP：
2、黑客使用的浏览器指纹是什么，提交指纹的md5：
3、查看包含index.php页面被访问的次数，提交次数：
4、查看黑客IP访问了多少次，提交次数：
5、查看2023年8月03日8时这一个小时内有多少IP访问，提交次数:

1、提交当天访问次数最多的IP，即黑客IP：

要对var/log/apache2/access.log.1日志文件进行分析。

由于数据量很大，直接cat根本不行，但是可以看到每条数据第一个字段就是ip，可以使用awk命令进行过滤ip，结合uniq命令去重，然后使用sort命令排序，搜孙访问次数最多的ip

root@ip-10-0-10-1:/var/log/apache2# awk '{print $1}' /var/log/apache2/access.log.1 | uniq -c | sort -nr5241 192.168.200.2763 192.168.200.2539 192.168.200.227 ::112 192.168.200.25 192.168.200.381 192.168.200.481 192.168.200.2111 ::11 ::11

可以看到出现次数最多的ip为192.168.200.2，即为答案

命令解析：

awk '{print $1}' /var/log/apache2/access.log.1 | uniq -c | sort -n

awk '{print $1}' /var/log/apache2/access.log.1：提取该文件中每条数据的第一列(即ip)
uniq -c：统计每个ip地址出现的次数，输出：出现次数对应的ip。
sort -nr：对提取出的ip地址进行降序排列。

flag{192.168.200.2}

2、黑客使用的浏览器指纹是什么，提交指纹的md5：

浏览器指纹：通过收集和分析浏览器和设备的特征信息，创建一个唯一的标识符，从而识别或跟踪用户。这种技术不仅仅依赖于常规的Cookie，还利用浏览器和设备的多种属性来进行识别。

常见的浏览器指纹：

浏览器类型和版本：使用的浏览器及其版本。
操作系统：设备所运行的操作系统及其版本。
时区：设备的时区设置。
语言和区域设置：浏览器和操作系统的语言设置。
屏幕分辨率和色深：设备屏幕的分辨率和颜色深度。
插件和扩展：已安装的浏览器插件和扩展。
字体：系统上安装的字体。
HTTP头：浏览器在请求时发送的HTTP头信息，包括User-Agent、Accept、Accept-Language等。
Canvas指纹：使用HTML5 Canvas元素绘制图形并分析生成的图像数据，以获取独特的图形渲染特征。
WebGL指纹：利用WebGL的特性，通过绘制3D图形来获取设备的渲染特性。
设备性能特征：CPU、GPU、内存等硬件信息。

使用指纹的目的是：

追踪用户活动：在用户禁用Cookie或使用隐私保护工具时，仍然能够跟踪用户的在线活动。
识别并避开安全系统：通过识别用户的浏览器指纹，可以绕过某些安全系统或反欺诈措施，假装成合法用户进行恶意活动。
目标攻击：了解目标用户的设备和浏览器特性，从而制定更有针对性的攻击策略，比如利用特定浏览器或操作系统的已知漏洞进行攻击。

已经知道黑客ip为192.168.200.2，只需要过滤一下这个ip，查看任意一条日志即可

cat /var/log/apache2/access.log.1 | grep "192.168.200.2 - -"

root@ip-10-0-10-1:/var/log/apache2# cat /var/log/apache2/access.log.1 | grep "192.168.200.2"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /IBMWebAS HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /ice_admin HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /icons HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /icinga/ HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /id_dsa HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /iconset HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /icon HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /id_dsa.ppk HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /id_rsa HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"
192.168.200.2 - - [03/Aug/2023:08:46:45 +0000] "GET /id_rsa.pub HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"

有几千条记录，这里只列举几条，可以看到这里的浏览器指纹是UA头(User-Agent)，用于标识客户端的浏览器、操作系统以及相关信息。

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
MD5加密：2D6330F380F44AC20F3A02EED0958F66

flag{2D6330F380F44AC20F3A02EED0958F66}

3、查看包含index.php页面被访问的次数，提交次数：

这里主要使用wc命令进行统计次数，这里要过滤/index.php，前面的斜杠不能省，不然会过滤出xxxindex.php之类的。

root@ip-10-0-10-1:/var/log/apache2# cat /var/log/apache2/access.log.1 | grep "/index.php" | wc -l
27

cat /var/log/apache2/access.log.1 | grep "/index.php" | wc -l

flag{27}

4、查看黑客IP访问了多少次，提交次数：

还是使用wc命令，这里最好在ip后面加上- -，不然有可能有日志记录也会计算在其中

root@ip-10-0-10-1:/var/log/apache2# cat /var/log/apache2/access.log.1 | grep "192.168.200.2 - -" | wc -l
6555

cat /var/log/apache2/access.log.1 | grep "192.168.200.2 - -" | wc -l

flag{6555}

5、查看2023年8月03日8时这一个小时内有多少IP访问，提交次数:

先把日期转换成日志中对应的格式03/Aug/2023:08，再进行过滤

root@ip-10-0-10-1:/var/log/apache2# cat /var/log/apache2/access.log.1 | grep "03/Aug/2023:08:" | awk '{print $1}' | sort -nr | uniq -c | wc -l
5

命令解析：

cat /var/log/apache2/access.log.1 | grep "03/Aug/2023:08:" | awk '{print $1}' | sort -nr | uniq -c | wc -l

cat /var/log/apache2/access.log.1：读取 Apache 访问日志文件 access.log.1。
grep "03/Aug/2023:08:"：过滤时间2023年8月03日8时。
awk '{print $1}'：提取第一列的ip地址。
sort -nr：对提取出的ip地址进行降序排列。
uniq -c：统计每个ip地址出现的次数，输出：出现次数对应的ip。
wc -l：统计行数，即可确定该时间段，不同 IP 地址的总数量。

flag{5}