【玄机】第二章日志分析-apache日志分析

momo安全

已于 2024-08-16 17:50:01 修改

阅读量311

点赞数 4

文章标签： apache

于 2024-08-13 11:06:56 首次发布

本文链接：https://blog.csdn.net/weixin_46148739/article/details/141158743

版权

01 前置知识

linux常用日志路径：

1：Apache：
    /var/log/httpd/access.log
    /var/log/apache/access.log  
    /var/log/apache2/access.log
2：Nginx：/var/log/nginx/
3：MySQL：/var/log/mysql/  /var/log/mariadb/
4：PostgreSQL：/var/log/postgresql/
5：PHP：/var/log/php/
6：SSH(认证日志)：/var/log/secure  /var/log/auth.log
7：系统日志：/var/log/messages

linux常用日志路径：

cat 查看文件内容
cat filename       # 查看文件内容
cat > filename     # 重定向输出到文件，如果文件不存在则创建
cat file1 file2 > combined.txt  # 将两个文件合并到一个文件中

grep 搜索文件中的文本模式
grep 'pattern' filename  # 在文件中搜索包含pattern的行
grep -i 'pattern' filename  # 忽略大小写搜索
grep -a 'pattern' filename  # 以文本形式读取文件
grep -w 'pattern' filename  # 匹配整个单词,全匹配

awk 文本处理工具
awk '{print $1}' filename  # 打印文件中每一行的第一个字段
awk '$3 > 100' filename  # 打印第三个字段值大于100的行
awk 'NR % 2 == 0' filename  # 打印偶数行

sort 对文本文件的内容进行排序
sort filename  # 按升序对文件进行排序
sort -r filename  # 按降序排序
sort -n filename  # 按数值大小进行排序

uniq 过滤或合并文件中的重复行，通常与sort联合使用
sort filename | uniq  # 过滤文件中的重复行
sort filename | uniq -c  # 统计每行出现的频率
sort filename | uniq -d  # 只显示重复出现的行

02 题目

账号密码 root apacherizhi
ssh root@IP
1、提交当天访问次数最多的IP，即黑客IP：
2、黑客使用的浏览器指纹是什么，提交指纹的md5：
3、查看index.php页面被访问的次数，提交次数：
4、查看黑客IP访问了多少次，提交次数：
5、查看2023年8月03日8时这一个小时内有多少IP访问，提交次数:

1、提交当天访问次数最多的IP，即黑客IP

根据前置知识查看/var/log路径，发现存在apache2文件夹
在这里插入图片描述跟进去查看发现存在access.log和access.log.1文件

access.log.1文件，是因为系统的一个日志轮换机制，当日志文件达到一定大小或满足特定的时间条件时，access.log文件会轮转，旧的文件会被重命名为access.log.1

所以需要从access.log和access.log.1两个文件中获取内容

观察日志可知：ip在第一列
在这里插入图片描述

`cat access.log access.log.1|awk '{print $1}'| sort | uniq -c
从access.log access.log.1这两个文件中获取内容
awk '{print $1}'获取第一列的内容，也就是ip
sort 排序
uniq -c 统计数据出现的频率`

在这里插入图片描述显然192.168.200.2访问最多

flag{192.168.200.2}

2、黑客使用的浏览器指纹是什么，提交指纹的md5

由第一题，知道了黑客的ip是192.168.200.2

cat access.log access.log.1 |grep "192.168.200.2"

在这里插入图片描述进行md5编码即可获得flag

flag{2d6330f380f44ac20f3a02eed0958f66}

3、查看index.php页面被访问的次数，提交次数

注意这里日志中还存在形如__index.php 这样的文件，所以查找时要加上斜杠
在这里插入图片描述

`cat access.log.1 |grep "/index.php" |sort|wc -l
wc -l 统计存在的“/index.php”字符串`

在这里插入图片描述 flag{27}

4、查看黑客IP访问了多少次，提交次数

跟第一题的语句相同

cat access.log access.log.1|awk '{print $1}'| sort | uniq -c
从access.log access.log.1这两个文件中获取内容
awk '{print $1}'获取第一列的内容，也就是ip
sort 排序
uniq -c 统计数据出现的频率

在这里插入图片描述
flag{6555}

5、查看2023年8月03日8时这一个小时内有多少IP访问，提交次数

观察日志可知，第四列为显示时间的日志列
在这里插入图片描述 2023年8月03日8时则为 03/Aug/2023:08:

cat access.log access.log.1 | grep "03/Aug/2023:08:" | awk '{print $1}' |sort |uniq -c

在这里插入图片描述 flag{5}

请添加图片描述

momo安全

关注

4
点赞
踩
11

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫