HW防守中之日志分析

  • A+
所属分类:安全文章

CTF-MISC-日志分析


没有结合攻击中的真实环境案例,只是看到了一篇关于CTF-MISC-日志分析的文章,与HW中我们要结合日志分析溯源漏洞很贴合。
而且作者在对日志分析总结的很细,很实用,搬运过来推荐下。

总结——用于备忘和交流学习

HW防守中之日志分析

一.web日志分析

(一)、特征字符分析

1.sql注入

HW防守中之日志分析

HW防守中之日志分析

有以上信息可以尝试判断是否为sql注入

 

(二)、访问频率分析

HW防守中之日志分析

二.系统日志分析

(一)、Linux

HW防守中之日志分析

(二)、Windows

HW防守中之日志分析

三.练习题

题目来源:墨者学院

1.分析谷歌爬虫IP

HW防守中之日志分析

先标记404,观察到其密集存在于210.185.192.212这个IP,再同时标记上这个IP,确实是一直在爬取网站的图片。输入IP即得到key。

我最先使用的是notepad++,后来想到用excal按空格分列显示,可以更直观和方便。

HW防守中之日志分析

2.分析sql注入1

筛选相应的关键词如union、select等,或者筛选可能存在的sql.php这样的关键词(实际中不可能出现)

关键字:union all select

HW防守中之日志分析

3.分析sql注入2

有两个文件:系统日志文件和sql日志文件

先分析sql文件,搜索sql相关语句,我搜索的是admin,还有order by、information_schema,union、table_name、and1=2、and 1=1即可

再根据这条命令对应的时间,在系统日志中匹配IP地址就可得到key



4.中断web业务的IP

根据http的状态码,500为web服务中断,直接搜索字符串500,找到在此之前有什么post之类的导致系统不能提供服务,得到key

HW防守中之日志分析


5.境外IP攻击分析

背景:某网站遭到境外ip攻击,请通过log,找到找到访问news.html最多的境外IP地址

筛选访问了news.html的所有IP地址,发现很多404的界面,猜测存在注入,根据其次数大小进行尝试,找到目的IP。其实看IP的组成都能分析出137开头的IP为境外IP

HW防守中之日志分析

在分析境外IP的时候还应该注意时区和时差


6.更改管理员的密码

背景:某公司安全工程师发现公司有黑客入侵的痕迹,并更改了admin账户的密码,你能帮忙找一下更改admin账户密码的IP地址吗?

先对sql的日志搜索update,在16:37:06时出现的修改

HW防守中之日志分析

对应时间查找日志

HW防守中之日志分析



7.拖库溯源

直接在sql日志里搜索“select *”,得到明显拖库痕迹

HW防守中之日志分析



作者:Yilanere
链接:https://www.jianshu.com/p/bb5b4c31f4f5

本文始发于微信公众号(LemonSec):HW防守中之日志分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: