玄机:日志分析-Tomcat日志分析

admin
admin
admin
145347
文章
119
评论
2025年6月27日17:12:28玄机:日志分析-Tomcat日志分析已关闭评论5 views字数 980阅读3分16秒阅读模式

背景

小王在自己的服务器上安装配置了Tomcat,并写了几个简单的网页。但由于安全意识不足,很快就被攻击者利用了。请你帮他排查一下存在的安全问题。

RDP 端口3389 用户名/密码:Administrator/4210bf@

题目

1、Tomcat日志所在的绝对路径是?

只有一个盘符的情况下查看server,发现Tomcat服务器就在这。
玄机:日志分析-Tomcat日志分析
同时因为访问日志都是带有access的,所以筛选出这些日志文件,根据文件大小可以发现应该是2025-03-19这个日期的日志文件才是我们需要分析的日志文件。
玄机:日志分析-Tomcat日志分析
定位到日志文件直接提交logs的目录即可
玄机:日志分析-Tomcat日志分析
flag{C:\server\apache-tomcat-11.0.5\logs}

2、攻击者对某网站进行了口令爆破。请你判断口令成功匹配的请求的响应码是?

对网站进行口令爆破首先得找到对应的登录点,通过login关键字和POST请求可以初步判断这个loginCheck.jsp应该就是判断登录是否成功的文件。再根据后面访问量logout.jsp说明这时候用户应该是成功登录了,才可以去访问的退出登录,那么登录成功的状态码显而易见的就是302。
玄机:日志分析-Tomcat日志分析
flag{302}

3、攻击者向admin.jsp的管理员留言板界面发送了恶意JS代码从而构成了存储型XSS。已知攻击者试图盗取管理员cookie,并将其发送至其本地服务器上。(请你判断其服务器上用于盗取cookie而监听的端口是?)

通过查看日志没有看到一些插入XSS语句的信息,那么我们就得去对应的目录下看看有没有相关的信息,找到demo,进入这个目录中可以发现一个message.txt文件,里面的信息就是我们想找到的XSS语句,可以看到外联的端口为5000。
玄机:日志分析-Tomcat日志分析
flag{5000}

4、攻击者利用执行系统命令的参数是?

通过日志的末尾可以发现ping.jsp存在命令拼接的情况造成RCE,其中参数就是ip。
玄机:日志分析-Tomcat日志分析
flag{ip}

5、攻击者通过某种手段遗留了后门文件,请你找到该文件并按需提交其文件中的flag

在日志文件的末尾我们可以发现他将后门写入到了Tomcat的webapps/ROOT/hello.jsp文件中。
玄机:日志分析-Tomcat日志分析
打开hello.jsp,可以发现flag,所以flag就是youmadeit。
玄机:日志分析-Tomcat日志分析
玄机:日志分析-Tomcat日志分析
玄机:日志分析-Tomcat日志分析
至此所有题目回答完毕。
玄机:日志分析-Tomcat日志分析

原文始发于微信公众号(ElmWhite安全小记):玄机:日志分析-Tomcat日志分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月27日17:12:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   玄机:日志分析-Tomcat日志分析https://cn-sec.com/archives/4204184.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.