流量日志分析

最新推荐文章于 2024-08-12 23:09:11 发布
最新推荐文章于 2024-08-12 23:09:11 发布
阅读量643 收藏 17
点赞数 9
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74020633/article/details/141086240
版权

流量分析

[陇剑杯 2021]jwt(问1)

 要求是通过流量分析判断网站使用的认证方式

在筛选http之后,发现有get请求,要认证方式就需要看请求流量包中的token

 然后查看token

token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTAwODYsIk1hcENsYWltcyI6eyJhdWQiOiJhZG1pbiIsInVzZXJuYW1lIjoiYWRtaW4ifX0.dJArtwXjas3_Cg9a3tr8COXF7DRsuX8UjmbC1nKf8fc

token是eyJ开头,说明是jwt认证

[陇剑杯 2021]jwt(问2)

 要求是找到绕过验证的id和username

先筛选http,根据响应码来判断

从404到200,说明可能在这里就进行了绕过,对后面的请求分析

既然问的是id和username,那么就要找whoami这个命令,并且返回200码

在第三个流中是发现了whoami

但是在第5个流中却是404,所以应该是在第五个之后才绕过的

在第十个流中发现whoami

 [陇剑杯 2021]jwt(问3)

前面绕过了jwt验证getshell,那么在getshell的回显就能找到相应获得的权限

[陇剑杯 2021]jwt(问4)

 在第14个流中找到了上传的文件名

[陇剑杯 2021]jwt(问5) 

这里需要过滤出.so后缀的文件,所以可以直接命令过滤包含so文件的流

http contains "so"

在分析后找到,makefile looter.so

[陇剑杯 2021]jwt(问6)

没有很明显的入手处,就对流逐一分析,先找到命令执行的流

在第23个流中,进行了目录的查看

在第22个流中,对looter.so进行了复制 ,复制到/lib/x86_64-linux-gnu/security/目录下 

在26个流中发现了输出auth optional looter.so添加到/etc/pam.d/common-auth

那么对配置文件的修改就是这里,绝对路径也就知道了

[陇剑杯 2021]webshell(问1) 

题目要求找到登录系统使用的密码,先过滤出http 

要是需要登录系统的话就有传参,登录一般是POST传参,筛选POST传参看看,POST过滤出来的应该还有其他的账号密码,那么就过滤LOGIN

[陇剑杯 2021]webshell(问2)

 修改了日志文件,先搜索日志文件的默认后缀是log,那么直接过滤log

发现data/Runtime/Logs/Home/21_08_07.log日志

经过分析,发现是liunx系统的流量所以绝对路径应该是/var/www/html/data/Runtime/Logs/Home/21_08_07.log

[陇剑杯 2021]webshell(问3)

 查看权限是什么,通过whoami命令,过滤whoami,追踪http流

权限是www-data

[陇剑杯 2021]webshell(问4)

要写入webshell,应该就有传参,先过滤POST传参,然后分析操作

这里base64加密写入到了1.php中,先把加密内容解密看看

解密后是一句话木马,所以应该就是这里写入文件getshell

[陇剑杯 2021]webshell(问5)

通过1.php已经getshell,所以可以通过shell来上传代理工具,先查看对于1.php的操作

在345流量包中,发现了之前的流量包没有的东西frpc.ini,应该就是上传的代理工具

[陇剑杯 2021]webshell(问6) 

 还是涉及到代理工具,继续分析对于1.php的操作

在343中发现了一串hex值,解码看一下

[陇剑杯 2021]webshell(问7) 

要sock5的连接账号和密码,同样是需要查看黑客创建webshell后传输的数据

在上一题中,解码的hex值里面就有sock5的账号密码

小结

对于黑客攻击的流量分析,要清楚的知道攻击的思路,先从外网起,在外网的服务器或者其他能访问内网的机器getshell,在权限足够的情况下,利用shell对内网进行渗透或者利用shell上传一些恶意文件,所以在找到shell后,之后的黑客攻击大多就会围绕shell来进行

日志分析

日志:记录程序的运行轨迹,方便查找关键信息,也方便快速定位解决问题

[陇剑杯 2021]日志分析(问1)

既然发生源码泄露,在平时学习中发现存在源码泄露一般是通过工具扫描发现的,之后访问获取源码,所以搜索状态码200

这里通过访问一个zip获取源码,前面访问的是页面,所以应该是源码泄露的文件

[陇剑杯 2021]日志分析(问2)

往/tmp目录写入了文件,那么查看tmp目录的操作日志

发现url编码,对url进行解码

flag{sess_car} 

[陇剑杯 2021]日志分析(问3)

 splfileobject是PHP5中新加入的一个文件访问类,它继承于php标准库(SPL)中的Iterator和SeekableIterator接口,并提供了对文件的高效访问和处理。splfileobject中的分页方法可以实现分批读取文件内容,对于大文件的处理非常有用。

直接分析上一题解码后的内容,发现黑客使用的类 

MissAnYou
关注
  • 9
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网站流量日志数据分析
m0_61276219的博客
03-02 1383
1 点击流数据模型 1.1 点击流概念 点击流(Click Stream)是指用户在网站上持续访问的轨迹。通过对网站日志的分析可以获得用户的点击流数据。 用户在访问多个网页时,网页与网页之间是靠Referrers参数来标识上级网页来源。由此,可以确定网页被依次访问的顺序,当然也可以通过时间来标识访问的次序。其次,用户对网站的每次访问,可视作是一次会话(Session),在网站日志中将会用不同的Sessionid来唯一标识每次会话。 1.2点击流模型生成 ...
实验吧杂项-流量日志分析
Au
09-11 1265
A记录 数据包 题目描述如下: 下载下来是一个cap文件,用wireshark打开,提示文件截断 观察流量发现为无线流量,加上之前的报错,猜测为已加密的数据包 破解加密的无线数据包需要得到数据包的 ESSID 和 PASSWORD 使用Kali集成的aircrack-ng 爆破工具得到ESSID为 0719 加密方式为 WPA加密(脆弱) 加载字典...
网站流量日志分析
weixin_43875878的博客
12-01 863
目录 1 分析的意义 2 Web访问日志 2.1 日志来源 2.2 数据分类 2.2.1 按类型分 2.2.2 按内容分 2.3 日志搜集原理 3 日志处理流程图 1 分析的意义 (1) 优化页面及业务流程设计,提高流量转化率。 (2) 帮助企业对客户群进行细分,针对不同客户制定个性化的促销策略. 2 Web访问日志 访问日志指用户访问网站时的所有浏览、点击行为数据. 2.1 日志来源 (1) web服务器软件(httpd、nginx、tomcat)自带的日志记录功..
网站流量日志分析系统
qq_44385031的博客
08-10 2191
网站流量日志分析系统 网站流量日志分析-01 网站流量日志分析的意义 通过分析用户的行为数据 让更多的用户沉淀下来变成会员 赚取更多的钱。 如何进行网站分析 流量分析 质量分析 在看重数量的同时 需要关注流量的质量 所谓的质量指的是流量所能带来产生的价值。 多维度细分 维度指的是分析的问题的角度 在不同的维度下 问题所展示的特性是不一样的 内容导航分析 从页面的角度分析 用户的访问行为轨迹 转化分析(漏斗模型分析) 从转化目标分析 分析所谓的流失率转化率 漏斗模型:层层递减
利用Hadoop生态体系技术实现网站流量日志分析
weixin_67893879的博客
11-29 2241
由于采集方案配置文件tail-hdfs.conf只监听新产生的日志数据,但是刚刚1.3步骤已经将日志数据全部写入到localhost_access_log.2023-11-27.txt中,自然不会再次新产生数据,所以可以先删除该文件,再新建一个同名文件,把数据一并复制过来即可表示新产生的日志数据,不然会采集不到想要的日志数据。SpringBoot……注意:如果hdfs中已经存在/logs目录,需要先将其删除,不然会报错(因为新采集的日志数据要存放在该目录下,如果新建时已经存在就会报错)
Suricata + Wireshark离线流量日志分析
weixin_51525416的博客
10-06 2072
Suricata + Wireshark离线流量日志分析
spark实战-移动端app访问流量日志分析
htfenght的博客
12-06 1538
综合案例-移动端app访问流量日志分析 移动端app访问流量日志分析 背景 如果你是在一个互联网公司,然后你的公司现在也在做移动互联网,做了一个手机app,那么你的手机app的用户,每次进行点击,或者是一些搜索操作的时候,都会跟你的远程的后端服务器做一次交互,也就是说,你的手机app,首先会往后端服务器发送一个请求,然后你的后端服务器会给你的手机app返回一个响应,响应的内容可能是图片、或者文字...
流量日志分析
zhaicheng55的博客
03-07 2362
日志分析也是最常用的分析安全 事件所采用的途径。(6) 200 这是一个状态码,由服务器端发送回客户端,它告诉我们客户端的请求是否成功,或者是重定向,或者是碰到了什么样的错误,这项值为200,表示服务器已经成 功的响应了客户端的请求,一般来说,这项值以2开头的表示请求成功,以3开头的表示重定向,以4开头的标示客户端存在某些的错误,以5开头的标示服务器端 存在某些错误,反向代理服务器在转发请求的http头信息中,可以增加X-Forwarded-For信息,用来记录客户端IP地址和客户端请求的服务器地址。
网站流量日志分析系统笔记(Hadoop大数据技术原理与应用)
qq_30693057的博客
07-16 2290
一、系统架构设计 首先,会将Nginx服务器所产生的日志文件通过Flume采集到HDFS中; 其次,开发人员根据原始日志文件及规定数据格式定制开发MapReduce程序进行数据与处理; 接着,通过Hive进行最为重要的数据分析; 再次,将分析的记过通过sqoop工具导出到关系数据库MySQL中; 最后,通过Web系统,实现最为重要的数据分析 二、系统概述 虚拟机中的Flume采集网站日志...
nginx+flume网络流量日志实时数据分析实战
Maynor的博客
05-11 2957
除了政府和公益类网站之外,大多数网站的目的都是为了产生货币收入,说白了就是赚钱。要创建出用户需要的网站就必须进行网站分析,通过分析,找出用户实际需求,构建出符合用户需求的网站。网站分析,可以帮助网站管理员、运营人员、推广人员等实时获取网站流量信息,并从流量来源、网站内容、网站访客特性等多方面提供网站分析的数据依据。从而帮助提高网站流量,提升网站用户体验,让访客更多的沉淀下来变成会员或客户,通过更少的投入获取最大化的收入。
基于Hadoop网站流量日志数据分析系统.zip
06-24
基于Hadoop网站流量日志数据分析系统 1、典型的离线流数据分析系统 2、技术分析 - Hadoop - nginx - flume - hive - mysql - springboot + mybatisplus+vcharts nginx + lua 日志文件埋点的 基于Hadoop网站流量...
基于Hadoop的流量日志分析系统.docx
11-07
这篇基于Hadoop的流量日志分析系统的学士学位毕业论文,深入探讨了Hadoop在大数据处理中的应用及其优势。 首先,Hadoop架构是论文的核心研究对象。Hadoop是由Apache基金会开发的一个开源项目,旨在提供一种分布式...
hadoop项目--网站流量日志分析--4.docx
10-23
Hadoop 项目网站流量日志分析 Hadoop 项目中,网站流量日志分析是一个非常重要的应用场景。在这种场景中,对数据采集部分的可靠性、容错能力要求通常不会非常严苛,但需要注意的是结合语境明白是何种含义的数据采集...
hadoop项目--网站流量日志分析--2.docx
10-23
【Hadoop项目——网站流量日志分析】 在网站流量日志分析中,数据采集是整个流程的第一步,它涉及到如何有效地收集和传输网站用户行为数据。在这个场景下,虽然对数据采集的可靠性与容错能力的要求可能不如其他业务...
【鸿蒙学习】Stage模型与FA模型的对比与应用选择
最新发布
一个不断前行的程序者
08-12 291
Stage模型是一种基于应用生命周期和功能模块划分的架构设计理念。它将应用分为多个阶段(Stage),每个阶段对应一个特定的任务或界面,使得应用结构更加清晰、开发更加高效。FA模型(Feature Ability Model)是鸿蒙OS中另一种应用架构设计理念,它以功能为单元,将应用划分为多个功能模块(Feature Ability),每个模块具有独立的生命周期和功能。Stage模型和FA模型各有优势,适用于不同的开发场景。普通开发者应根据项目需求、团队协作、性能要求等因素,选择最合适的模型。
Zero123++ 论文学习
calvinpaean的博客
08-07 1092
随着新视图生成模型的涌现,3D 内容生成领域取得了显著进展,这些模型利用了强大的 2D 扩散生成先验知识,这些 2D 扩散模型是在互联网上的大规模数据集训练得到的。如果没有全局条件,针对可见区域生成的内容还是不错的,但是对于不可见区域,则生成质量就急剧下降了,因为模型缺乏推理物体的全局语义的能力。Reference Attention 指的就是,在对模型的输入去噪时,对一个额外的参考图像使用去噪 UNet 模型,并将参考图像中得到的自注意力 key 矩阵和 value 矩阵附加到去噪模型的相应的注意力层。
车身域测试学习、CANoe工具实操学习、UDS诊断测试、功能安全测试、DTC故障注入测试、DBC数据库、CDD数据库、CAN一致性测试
车载测试
08-12 488
车身域测试学习、CANoe工具实操学习、UDS诊断测试、功能安全测试、DTC故障注入测试、DBC数据库、CDD数据库、CAN一致性测试
日常学习--20240806
xxm13679073037的博客
08-07 823
调优
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值