有一次偶然的机会,我的朋友给我发了日志文件,给我看了服务器的access.log文件,说是CTF的主题,给了我这样的access文件,然后得到了flag。 我专业是划水,所以几乎不碰CTF。 我不知道该怎么办,所以分析了一下。 打开网站日志文件。 文件的内容基本上很长。 看完日志文件,发现CTF如此直接,没有干扰流量,整个文件只有一个访问者。 因此,不需要找到攻击者的地址。 在实际安全事件的分析过程中有大量的正常流量,我会按照正常的分析过程进行说明,确保没有遗漏。
我进行日志分析时,主要是展开404统计来识别攻击者,进行500统计,通过目录扫描来识别攻击者,通过200统计来评价攻击的影响。 (请注意,这里的攻击取证不是司法取证,司法取证有完善的步骤和常见的注意事项。 感兴趣的人请研究一下。 )如果经常建议日志分析师使用专业日志分析软件进行更好的搜索,如果日志文件较小,可以直接使用notepad进行分析。 因为示例文件很小,所以现在直接用notepad进行分析。
我喜欢先计数404响应的数量。 因为它最直接地反映了攻击流量的状况。 如果这个方法没有明显的效果,也可以用其他方法判断。 如果有很多404个状态的统计结果,请利用显示404个所有记录来浏览404个页面(如果404不理解,很抱歉在此不再详细说明)。 可以看到百度百科的“HTTP响应头404”)。 这个示例日志清楚地表明,404流量大部分是由扫描仪生成的,因此可以断定该地址非常可疑,至少有一段时间他一直在试图攻击我们的服务器。 样本文件比较容易提交,全部由扫描仪生成,因此没有500个状态的通信量,在此不进行分析。 在分析过程中,记录了发现的异常IP,从异常IP中提取了攻击流量。 在这里,我们使用notepad正则表达式搜索了全文。 有关正则表达式的具体用法,请参阅正则表达式的基本语法。 本文主要查找以192.168.8.254开头的行。 返回状态为404,可以全部搜索。 在该方法中,扫描500、301和302基本上可以用于搜索攻击者的所有攻击行为。 经过以上过程,我们基本上可以锁定攻击者和攻击者发起的攻击行为。 这一阶段需要做的工作是评估攻击行为对目标的影响。
运用上述取证方法,找出攻击者所有200个状态要求。 这里没有其他内容。 从日志中可以直接看到,攻击者使用SQLMAP进行注入攻击,攻击成功。
易受攻击的页面为:/index.php参数为:id。 为了便于分析,请先解码文件的url。 有很多方法可以解码网站。 例如,由于文件很小,可以利用软件网站在线直接解码URL解码软件,也可以利用脚本处理直接解码。 利用上述分析项目,成功地验证了攻击者在服务中发现了sql注入漏洞,并触发和验证了sql漏洞可用。 之后,攻击者利用该漏洞执行其他操作。 如果攻击者使用此漏洞,影响范围与什么表格有关? 我们继续分析。 我在这里挣扎了三分钟。 最后简单说一下是否需要补充sql注入的基础知识来提高文章的完整性。 因为大部分人都想读这篇文章,所以觉得还是不完整的话对想读的人不好。 通过分析,可以确认系统中存在sql注入漏洞,因此需要评估攻击者利用该漏洞读取了什么。 根据mysql的特性,攻击者的阅读信息可以使用检索fromINFORMATION_SCHEMA进行逐次分析。 以读取数据库信息和判断数据库名称的第一个字符的方式,依次列举数据库名称,然后按读取表的顺序依次分析攻击者得到的表名、列名和记录编号。