01 前置知识
linux常用日志路径:
1:Apache:
/var/log/httpd/access.log
/var/log/apache/access.log
/var/log/apache2/access.log
2:Nginx:/var/log/nginx/
3:MySQL:/var/log/mysql/ /var/log/mariadb/
4:PostgreSQL:/var/log/postgresql/
5:PHP:/var/log/php/
6:SSH(认证日志):/var/log/secure /var/log/auth.log
7:系统日志:/var/log/messages
linux常用日志路径:
cat 查看文件内容
cat filename # 查看文件内容
cat > filename # 重定向输出到文件,如果文件不存在则创建
cat file1 file2 > combined.txt # 将两个文件合并到一个文件中
grep 搜索文件中的文本模式
grep 'pattern' filename # 在文件中搜索包含pattern的行
grep -i 'pattern' filename # 忽略大小写搜索
grep -a 'pattern' filename # 以文本形式读取文件
grep -w 'pattern' filename # 匹配整个单词,全匹配
awk 文本处理工具
awk '{print $1}' filename # 打印文件中每一行的第一个字段
awk '$3 > 100' filename # 打印第三个字段值大于100的行
awk 'NR % 2 == 0' filename # 打印偶数行
sort 对文本文件的内容进行排序
sort filename # 按升序对文件进行排序
sort -r filename # 按降序排序
sort -n filename # 按数值大小进行排序
uniq 过滤或合并文件中的重复行,通常与sort联合使用
sort filename | uniq # 过滤文件中的重复行
sort filename | uniq -c # 统计每行出现的频率
sort filename | uniq -d # 只显示重复出现的行
02 题目
账号密码 root apacherizhi
ssh root@IP
1、提交当天访问次数最多的IP,即黑客IP:
2、黑客使用的浏览器指纹是什么,提交指纹的md5:
3、查看index.php页面被访问的次数,提交次数:
4、查看黑客IP访问了多少次,提交次数:
5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数:
1、提交当天访问次数最多的IP,即黑客IP
根据前置知识查看/var/log路径,发现存在apache2文件夹
跟进去查看发现存在access.log和access.log.1文件
access.log.1文件,是因为系统的一个日志轮换机制,当日志文件达到一定大小或满足特定的时间条件时,access.log文件会轮转,旧的文件会被重命名为access.log.1
所以需要从access.log和access.log.1两个文件中获取内容
观察日志可知:ip在第一列
`cat access.log access.log.1|awk '{print $1}'| sort | uniq -c
从access.log access.log.1这两个文件中获取内容
awk '{print $1}'获取第一列的内容,也就是ip
sort 排序
uniq -c 统计数据出现的频率`
显然192.168.200.2访问最多
flag{192.168.200.2}
2、黑客使用的浏览器指纹是什么,提交指纹的md5
由第一题,知道了黑客的ip是192.168.200.2
cat access.log access.log.1 |grep "192.168.200.2"
进行md5编码即可获得flag
flag{2d6330f380f44ac20f3a02eed0958f66}
3、查看index.php页面被访问的次数,提交次数
注意这里日志中还存在形如__index.php 这样的文件,所以查找时要加上斜杠
`cat access.log.1 |grep "/index.php" |sort|wc -l
wc -l 统计存在的“/index.php”字符串`
flag{27}
4、查看黑客IP访问了多少次,提交次数
跟第一题的语句相同
cat access.log access.log.1|awk '{print $1}'| sort | uniq -c
从access.log access.log.1这两个文件中获取内容
awk '{print $1}'获取第一列的内容,也就是ip
sort 排序
uniq -c 统计数据出现的频率
flag{6555}
5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数
观察日志可知,第四列为显示时间的日志列
2023年8月03日8时则为 03/Aug/2023:08:
cat access.log access.log.1 | grep "03/Aug/2023:08:" | awk '{print $1}' |sort |uniq -c
flag{5}