玄机靶场–2.日志分析-apache日志分析

启动环境

image-20240613230158814

IP地址

image-20240613230231664

SSH连接后查询默认日志名称access.log

image-20240613230922054

然后用命令查看发现access.log为空,但是access.log.1有数据

image-20240613231002086

1、提交当天访问次数最多的IP,即黑客IP:

1
cat /var/log/apache2/access.log.1 | awk '{print $1}' | sort | uniq -c | sort -nr | head

image-20240613231338447

命令详解

1
2
3
4
5
print $1 为打印第一个字段 $0为整行
sort 排序
uniq 显示或忽略重复的行。 -c在每行开头增加重复次数。
sort -nr:按照出现次数进行降序排序。
head  显示文件的开头部分。

2、黑客使用的浏览器指纹是什么,提交指纹的md5:

1
grep '192.168.200.2' /var/log/apache2/access.log.1 | awk -F'"' '{print $6}'

image-20240613231804136

命令详解

1
2
-F'"' 指定分隔符为" 因为UA字段通常被双引号包围
grep 文本搜索工具 提取IP为192.168.200.2

答案是下面UA的md5加密

1
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36

3、查看index.php页面被访问的次数,提交次数:

1
grep '/index.php' /var/log/apache2/access.log.1 | wc -l

image-20240613232347747

命令详解

1
wc 统计文件的字节数、字数、行数 -l 统计行数,或--lines:显示列数。

4、查看黑客IP访问了多少次,提交次数:

这个在第一问已经做出来了不做赘述

5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数:

1
grep '03/Aug/2023:08:' /var/log/apache2/access.log.1 | awk '{print $1}' | sort | uniq | wc -l

image-20240613232847071

总结

apache日志分析也没有什么很难的地方,主要是知道apache日志的默认格式,掌握Linux命令(也可以交给AI),且在排查异常时要对时间敏感一点

1
192.168.200.2 - - [03/Aug/2023:10:00:00 +0000] "GET /index.php HTTP/1.1" 200 1024 "http://example.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"

Linux手册项目

Linux手册镜像