CTF-MISC-日志分析

  • A+
所属分类:安全文章

看到了一篇关于CTF-MISC-日志分析的文章,而且作者在对日志分析总结的很细,很实用,搬运过来推荐下。


总结——用于备忘和交流学习

CTF-MISC-日志分析

一.web日志分析

(一)、特征字符分析

1.sql注入

CTF-MISC-日志分析

CTF-MISC-日志分析

有以上信息可以尝试判断是否为sql注入

 

(二)、访问频率分析

CTF-MISC-日志分析

二.系统日志分析

(一)、Linux

CTF-MISC-日志分析

(二)、Windows

CTF-MISC-日志分析

三.练习题

题目来源:墨者学院

1.分析谷歌爬虫IP

CTF-MISC-日志分析

先标记404,观察到其密集存在于210.185.192.212这个IP,再同时标记上这个IP,确实是一直在爬取网站的图片。输入IP即得到key。

我最先使用的是notepad++,后来想到用excal按空格分列显示,可以更直观和方便。

CTF-MISC-日志分析


2.分析sql注入1

筛选相应的关键词如union、select等,或者筛选可能存在的sql.php这样的关键词(实际中不可能出现)

关键字:union all select

CTF-MISC-日志分析


3.分析sql注入2

有两个文件:系统日志文件和sql日志文件

先分析sql文件,搜索sql相关语句,我搜索的是admin,还有order by、information_schema,union、table_name、and1=2、and 1=1即可

再根据这条命令对应的时间,在系统日志中匹配IP地址就可得到key


4.中断web业务的IP

根据http的状态码,500为web服务中断,直接搜索字符串500,找到在此之前有什么post之类的导致系统不能提供服务,得到key

CTF-MISC-日志分析


5.境外IP攻击分析

背景:某网站遭到境外ip攻击,请通过log,找到找到访问news.html最多的境外IP地址

筛选访问了news.html的所有IP地址,发现很多404的界面,猜测存在注入,根据其次数大小进行尝试,找到目的IP。其实看IP的组成都能分析出137开头的IP为境外IP

CTF-MISC-日志分析

在分析境外IP的时候还应该注意时区和时差


6.更改管理员的密码

背景:某公司安全工程师发现公司有黑客入侵的痕迹,并更改了admin账户的密码,你能帮忙找一下更改admin账户密码的IP地址吗?

先对sql的日志搜索update,在16:37:06时出现的修改

CTF-MISC-日志分析

对应时间查找日志

CTF-MISC-日志分析


7.拖库溯源

直接在sql日志里搜索“select *”,得到明显拖库痕迹

CTF-MISC-日志分析



作者:Yilanere
链接:https://www.jianshu.com/p/bb5b4c31f4f5
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。


本文始发于微信公众号(LemonSec):CTF-MISC-日志分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: