看到了一篇关于CTF-MISC-日志分析的文章,而且作者在对日志分析总结的很细,很实用,搬运过来推荐下。
总结——用于备忘和交流学习
一.web日志分析
(一)、特征字符分析
1.sql注入
有以上信息可以尝试判断是否为sql注入
(二)、访问频率分析
二.系统日志分析
(一)、Linux
(二)、Windows
三.练习题
题目来源:墨者学院
1.分析谷歌爬虫IP
先标记404,观察到其密集存在于210.185.192.212这个IP,再同时标记上这个IP,确实是一直在爬取网站的图片。输入IP即得到key。
我最先使用的是notepad++,后来想到用excal按空格分列显示,可以更直观和方便。
2.分析sql注入1
筛选相应的关键词如union、select等,或者筛选可能存在的sql.php这样的关键词(实际中不可能出现)
关键字:union all select
3.分析sql注入2
有两个文件:系统日志文件和sql日志文件
先分析sql文件,搜索sql相关语句,我搜索的是admin,还有order by、information_schema,union、table_name、and1=2、and 1=1即可
再根据这条命令对应的时间,在系统日志中匹配IP地址就可得到key
4.中断web业务的IP
根据http的状态码,500为web服务中断,直接搜索字符串500,找到在此之前有什么post之类的导致系统不能提供服务,得到key
5.境外IP攻击分析
背景:某网站遭到境外ip攻击,请通过log,找到找到访问news.html最多的境外IP地址
筛选访问了news.html的所有IP地址,发现很多404的界面,猜测存在注入,根据其次数大小进行尝试,找到目的IP。其实看IP的组成都能分析出137开头的IP为境外IP
在分析境外IP的时候还应该注意时区和时差
6.更改管理员的密码
背景:某公司安全工程师发现公司有黑客入侵的痕迹,并更改了admin账户的密码,你能帮忙找一下更改admin账户密码的IP地址吗?
先对sql的日志搜索update,在16:37:06时出现的修改
对应时间查找日志
7.拖库溯源
直接在sql日志里搜索“select *”,得到明显拖库痕迹
作者:Yilanere
链接:https://www.jianshu.com/p/bb5b4c31f4f5
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
本文始发于微信公众号(LemonSec):CTF-MISC-日志分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论