pte 日志分析

最新推荐文章于 2024-04-18 23:00:13 发布

GuiltyFet

最新推荐文章于 2024-04-18 23:00:13 发布

阅读量1k

点赞数

分类专栏： cisp -pte 文章标签：安全

本文链接：https://blog.csdn.net/weixin_51387754/article/details/127305431

版权

这篇博客主要探讨了日志分析在安全领域的应用。在日志分析一中，重点讲述了如何通过匹配'(hack|back|admin|shell)'关键字和'.php'文件来识别可能的入侵行为，同时指出黑客常用的关键字和php文件关联的200状态码。在日志分析二中，提到了对密码进行爆破的情况，发现了'please'导致的302响应。

摘要由CSDN通过智能技术生成

pte 日志分析

日志分析一
日志分析二

日志分析一

在这里插入图片描述
".(hack|back|admin|shell)..php." 200
.代表任意字符，一般入侵文件是php文件，因此html、js等文件类型可以忽略，黑客部分关键字一般涉及hack、back、admin等，进行匹配查找，关键词后面可能有其他内容，加上.，php文件后面可能还有内容，因此跟上.（200前面别忘了空格）

    查找结果如下：

在这里插入图片描述

日志分析二

最近管理员很苦恼，发现自己的服务器被人入侵了，但是不知道原因，你能帮帮他吗？

    管理员把日志保存下来了，大概分析了一下，有两个IP对服务器进行了攻击， 感觉攻击者的IP是 172.16.12.12 。

    日志下载地址：当前目录下的 access.log

172.16.12.12.*

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

GuiltyFet

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

Android日志实战——Tombstones日志分析（七）

小旭的专栏

07-07

1467

Tombstones 一般是由 Dalvik 错误、状态监视调试器、C 层代码以及 libc 的一些问题导致的。当系统发生 Tombstone 的时候，内核（kernel）首先会上报一个严重的警告信号（signal），上层接收到之后，进程的调试工具会把进程中当时的调用栈现场保存起来，并在系统创建了 data/tombstones 目录后把异常时的进程信息写在此目录里面，开发者需要通过调用栈来分析整个调用流程来找出出问题的点。Tombstone原因分析pid 与 tid 相同，问题出在主线程。

PTE-靶场训练-1

最新发布

qq_42041946的博客

06-26

926

设置好后reboot重启一下即可，然后访问81-85端口，共5题。因为靶场出了问题，只能打开第一题，建议按照原网络环境去设置仅主机模式，原IP地址是172.16.12.100，虚拟机中的攻击机也可以配置同网段仅主机模式即可，问题不大。pet-2003设置net模式就好了，发现用桥接模式扫描端口失败通过SQL注入漏洞读取/tmp/360/key文件,答案就在文件中。

参与评论您还未登录，请先登录后发表或查看评论

PTE靶机攻略第五题 日志分析

m0_57116761的博客

08-18

644

172.16.12.100：85 日志分析 日志复制到VSvode保存到D盘然后到360星图改config 点击start.bat开始日志分析 访问1000多次坠尾名字还是管理员login 所以是对方爆破登陆的界面进入页面结合burp拦截暴力破解设置两个payload（过程略）爆破成功拿到账户密码登录拿到key:9y6u8s5m ...

CISP-PTE练习篇（基础题目之日志分析）

wojiaoqwe的博客

01-30

1190

本文仅当作学习记录使用。

CISP-PTE靶机基础实训之日志分析(二）

weixin_46249630的博客

12-04

572

CISP-PTE靶机基础实训之日志分析(二）详解

基础题目之日志分析

king丶

07-31

728

通过下载日志，已知线索ip:172.16.12.12 利用Notepad++ 正则匹配到我们知道的ip地址已经状态码 200 的 172.16.12.12 .*".*" 200 发现攻击者一直在adminlogin.php 页面请求。发现是个登陆框。导入字典爆破密码为password123 ...

网络安全日志审计小实验（1）

ID33Dhy的博客

06-28

761

这里写自定义目录标题实验要求：实验要求： 1.kali使用工具发送大量垃圾流量进行攻击，在实验机上使用iftop结合iptables封堵攻击IP：

PTE学习作业

weixin_56910965的博客

07-01

1550

##被攻击者服务器为Linux：加粗样式 1.基础题目之SQL注入所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。通过SQL注入漏洞读取/tmp/360/key文件,答案就在文件中。通过简单的测试，看到了系统过滤了空格咱为了省事直接sqlmap用起来，先去tamper里面找找哪个空格好使答案出来了复制路径 C:\Users\Admin\AppData\Local\sqlmap\output\172.16.12.1

CISP-PTE_windows操作系统安全V2.0.pptx

10-22

日志分析是 Windows 操作系统安全的重要组成部分。Windows 系统日志包括系统日志、应用程序日志、安全日志和设置日志等。这些日志可以帮助管理员了解系统的安全状况。安全策略是 Windows 操作系统安全的重要组成...

CISP-PTE靶场（win+centos）.zip

03-13

这个靶场让学员有机会学习Linux环境下的安全实践，包括权限管理、日志分析、防火墙配置以及Linux系统的安全审计。 4. **靶场搭建方法**： CISP-PTE靶场搭建方法.rar文件提供了详细的步骤指导，帮助用户在本地或...

cisp-pte真题解答

告白的博客

01-20

3716

0x00 实例1 sql注入 poc：http://192.168.222.135:1081/vulnerabilities/fu1.php?id=-1%') ununionion select 1,load_file('/tmp/key'),3,4,5,6,7--+ 知识点：1.双写绕过 2.load_file 读取文件内容 0x02 文件上传知识点： 1.文件内容大小写绕过，且检测文件头内容标识 2.白名单过滤 %00自行添加php文件名截断 3.注意使用原文件名不需要改变 0x03 文件包含

模拟cisp-pte 第五题代码审计

小明师傅博客

06-14

2482

根据提示可能172.16.12.12是攻击者ip 我们搜索172.16.12.12.*admin.*200 很多post请求我们访问这个页面爆破完事

网络安全实验教程【4.1】

qq_43416206的博客

04-18

934

发送数据包到路由器，路由器将数据包转发到 Web 站点，当 Web 站点接收数据包请求之后回应数据包到路由器，路由器将数据包发送给了内网主机１，再由内网主机１转发给内网主机２。通过漏洞扫描，发现内网主机 1 不存在可利用漏洞，即攻击主机不可能通过主动攻击方式攻击内网主机 1，根据安全检测阶段的推论，利用 ARP 欺骗攻击的方式对内网站主机 1 进行攻击，可以成功实现攻击，未受攻击情况下的 ARP 缓存如图 14.15 所示，被ARP 欺骗攻击后的 ARP 缓存如图 14.16 所示。

11 个步骤完美排查服务器 是否已经被入侵

beeworkshop的博客

05-09

1270

文章目录一、入侵者可能会删除机器的日志信息二、入侵者可能创建一个新的存放用户名及密码文件三、入侵者可能修改用户名及密码文件四、查看机器最近成功登陆的事件和最后一次不成功的登陆事件五、查看机器当前登录的全部用户六、查看机器创建以来登陆过的用户七、查看机器所有用户的连接时间（小时）八、如果发现机器产生了异常流量九、可以查看/var/log/secure日志文件十、查询异常进程所对应的执行脚本文件1. top命令查看异常进程对应的PID2. 在虚拟文件系统目录查找该进程的可执行文件十一、如果确认机器已被入侵，重要

CISP-PTE实操练习题讲解一（新版）

lza20001103的博客

08-05

1万+

CISP-PTE实操练习题讲解一（新版）

干货|2020渗透测试面试问题大全建议收藏

热门推荐

RuoLi_s的博客

01-28

2万+

转自HACK之道乌雲安全渗透篇 0.渗透测试知识体系结构 1、介绍一下自认为有趣的挖洞经历挖洞也有分很多种类型，一种是以渗透、一种是以找漏洞为主，如果是前者会想各种办法获取权限继而获取想要的的东西完成渗透目标，这类跟HW类似，目标各种漏洞不算，要有Shell，服务器权限才给分，这才是最接近实战渗透，跟某部门有合作的话也是属于这种打击网络犯罪获得权限、传销数据、组织架构，服务器权限、等… 2、你平时用的比较多的漏洞是哪些？相关漏洞的原理？以及对应漏洞的修复方案？ SQL注入、密码组合,前者防护分为

CISP-PTE web渗透通关攻略

DG_s1mple

12-09

1551

想考一个cisp-pte的证，最近在网上找了一下，找到一些资料，就先做了顺便把过程记录下来这是老靶场打开页面告诉我们需要读取/tmp/360/key文件，我们把它记下来，然后点击进入答题进入到如下界面把sql输入的句子直接显示在页面上了，我们开始用HackerBar测试发现输入1’)报错无法返回输入1’)%23可以正常返回页面可以确定注入条件了，然后我们开始测试它的字段数量发现空格被过滤了，我们使用注释来绕过/**/ 发现为4的时候页面可以正常返回，为5的时候不返回确定字段数量为5

日志分析 入侵检测--实战

weixin_45300266的博客

03-16

6027

收到客户服务器被入侵消息，希望我给他做一次入侵排查，刚做完顺手记录一下入侵排查思路 0x01、日志分析 1、爆破ip统计 grep -i Failed /var/log/secure |awk '{print $(NF-3)}' | sort | uniq -c | sort -rn 这里爆破的Ip地址居然是内网IP,出乎意料，留待后续研究 2、登录成功的IP统计 grep "Accepted " /var/log/secure | awk '{print $11}' | so

笔试题————网络安全、web安全、渗透测试之笔试总结（二）

Fly_鹏程万里

05-13

1万+

主要讲解内容1.什么是WebShell? 2.什么是网络钓鱼？ 3.你获取网络安全知识途径有哪些？ 4.什么是CC攻击？ 5.Web服务器被入侵后，怎样进行排查？ 6.dll文件是什么意思，有什么用？DLL劫持原理 7.0day漏洞 8.Rootkit是什么意思 9.蜜罐 10.ssh 11.DDOS 12.震网病毒： 13.一句话木马 14.Https的作用 15.手工查找后门木马的小技巧 16...