渗透过程中,我们可能用普通账号进到了系统,在提权或者进一步信息收集的过程中,我们会获得一些日志文件,根据这些日志文件我们需要进一步的分析。
下面是kali官方给的日志文件,根据这个日志,讲述一下信息收集的方法:
1. 目录权限升级和解压
2. 查看具体内容
3. 过滤IP地址信息
4. 过滤IP地址并去重复
root@Fkali:/tmp/test# cat access_log.txt | cut -d " " -f 1 |sort -u
201.21.152.44
208.115.113.91
208.54.80.244
208.68.234.99
70.194.129.34
72.133.47.242
88.112.192.2
98.238.13.253
99.127.177.95
5. 去重后统计IP地址的访问次数
root@Fkali:/tmp/test# cat access_log.txt | cut -d " " -f 1 |sort| uniq -c
1 201.21.152.44
59 208.115.113.91
22 208.54.80.244
1038 208.68.234.99
8 70.194.129.34
8 72.133.47.242
8 88.112.192.2
8 98.238.13.253
21 99.127.177.95
6.对于去重IP地址访问次数排序
7. 查看第一个1000多次请求的ip地址对应log
8. 通过上面的结果,可以看出多次请求/admin这个接口。对这个接口进行统计查看
cat access_log.txt | grep 208.68.234.99 | grep "/admin" | sort -u
9. 从上面的分析可以看到,这个ip地址对/admin地址进行了爆破等相关操作,而且从结果可以看出,爆破应该已经成功了。
上面是针对日志文件分析的思路,这边也感谢yuan老师的讲解