CTF-MISC-日志分析

发布时间:2024年01月16日
总结——用于备忘和交流学习
0bafb9e5d3524e91a983bff1dc0883c1.png
一.web 日志分析
(一)、特征字符分析
1.sql 注入
a5861c9b71e0404b96082f76ef6bbbf9.png
4e6606b5b05a4cd7aa24ce6d72da2a9e.png
有以上信息可以尝试判断是否为 sql 注入
(二)、访问频率分析
a9a726bf83af41cc94b463fe7c7d4dfc.png
二.系统日志分析
(一)、Linux
351f580367af4c04b7e5ba04e28985d8.png
(二)、Windows
a72498c9e1e14aacb146dcbd04cb3be0.png
三.练习题
1.分析谷歌爬虫 IP
3a259030aa064f008bc883e93b103d8c.png
先标记 404,观察到其密集存在于 210.185.192.212 这个 IP,再同时标记上这
个 IP,确实是一直在爬取网站的图片。输入 IP 即得到 key。
我最先使用的是 notepad++,后来想到用 excal 按空格分列显示,可以更直观
和方便。
5ae83f61b5da40bbb4b7832f701a133c.png
2.分析 sql 注入 1
筛选相应的关键词如 union、select 等,或者筛选可能存在的 sql.php 这样的
关键词(实际中不可能出现)
关键字:union all select
15daf27b5fdf46e89bf645f5d851d751.png
?
3.分析 sql 注入 2
有两个文件:系统日志文件和 sql 日志文件
先分析 sql 文件,搜索 sql 相关语句,我搜索的是 admin,还有 order by、
information_schema,union、table_name、and 1=2、and 1=1 即可
再根据这条命令对应的时间,在系统日志中匹配 IP 地址就可得到 key
4.中断 web 业务的 IP
根据 http 的状态码,500 为 web 服务中断,直接搜索字符串 500,找到在此之
前有什么 post 之类的导致系统不能提供服务,得到 key
c613187f6a894754b4a27b4bee1c096e.png
5.境外 IP 攻击分析
背景:某网站遭到境外 ip 攻击,请通过 log,找到找到访问 news.html 最多的
境外 IP 地址
筛选访问了 news.html 的所有 IP 地址,发现很多 404 的界面,猜测存在注入,
根据其次数大小进行尝试,找到目的 IP。其实看 IP 的组成都能分析出 137 开
头的 IP 为境外 IP
b8e83e427a4148b4a93f1e6965141998.png
在分析境外 IP 的时候还应该注意时区和时差
6.更改管理员的密码
背景:某公司安全工程师发现公司有黑客入侵的痕迹,并更改了 admin 账户的
密码,你能帮忙找一下更改 admin 账户密码的 IP 地址吗?
先对 sql 的日志搜索 update,在 16:37:06 时出现的修改
e7c28975d76a4971980b8f8cb4a25d67.png
对应时间查找日志
7e2fa01d3b814b3a96aac9f2e3b79088.png
7.拖库溯源
直接在 sql 日志里搜索“select *”,得到明显拖库痕迹
cb7bbc2bc5c34cd59c8ef763e8403372.png

?

文章来源:https://blog.csdn.net/m0_62207482/article/details/135545998
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
最新文章