题目
-
提交当天访问次数最多的IP,即黑客IP -
黑客使用的浏览器指纹是什么,提交指纹的md5 -
查看index.php页面被访问的次数,提交次数 -
查看黑客IP访问了多少次,提交次数 -
查看2023年8月03日8时这一个小时内有多少IP访问,提交次数
靶场地址:https://xj.edisec.net/challenges/29
1、提交当天访问次数最多的IP,即黑客IP
已知中间件是Linux上的Apache,常见日志路径一般是:
-
/var/log/apache/ -
/var/log/apache2/ -
/var/log/httpd/
这里定位到日志路径是/var/log/apache2。通过命令ls -lah根据文件大小,判断日志文件是access.log.1,因为access.log的大小是0。
使用命令cat access.log.1 | cut -d ' ' -f 1 | sort | uniq -c | sort -nr得知访问次数最多的IP地址是:192.168.200.2。
flag{192.168.200.2}
2、黑客使用的浏览器指纹是什么,提交指纹的md5
使用命令cat access.log.1 | grep 192.168.200.2 | cut -d '"' -f 6 | sort | uniq -c | sort -nr得到2个浏览器指纹,其中次数最多的是:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36。
使用命令echo -n "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36" | md5sum计算md5值,得到:2D6330F380F44AC20F3A02EED0958F66。
需要注意的是,echo命令默认情况下会在输出的文本末尾自动添加换行符,这会影响md5值的计算结果,因此echo命令需要带上-n参数,禁止输出换行符,否则计算出的md5值是错误的。
flag{2D6330F380F44AC20F3A02EED0958F66}
3、查看index.php页面被访问的次数,提交次数
使用命令cat access.log.1 | grep ' /index.php '计算访问/index.php页面的次数(grep的/index.php前后都有空格),是2次,但答案不是这个。
使用命令cat access.log.1 | grep '/index.php '计算访问以/index.php结尾的页面的次数(grep的/index.php前面有空格),是24次,但答案不是这个。
使用命令cat access.log.1 | grep '/index.php'计算访问页面、访问页面来源页面(Referer)含有/index.php的次数(grep的/index.php前面都没空格),是27次,答案是这个。
虽然答案是flag{27},但我觉得真正的答案应该是flag{2}。
4、查看黑客IP访问了多少次,提交次数
在第一题时,得知黑客IP地址是:192.168.200.2。因此访问次数是:6555。
flag{6555}
5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数
使用命令Aug/2023:08: | cut -d ' ' -f 1 | sort | uniq -c | sort -nr筛选2023年8月03日8时的访问记录的源IP地址,数一数是5个。
flag{5}
原文始发于微信公众号(OneMoreThink):应急靶场(11):【玄机】日志分析-apache日志分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论