0
点赞
收藏
分享

微信扫一扫

渗透过程中日志信息分析示例

小时候是个乖乖 2022-04-25 阅读 25
安全

渗透过程中,我们可能用普通账号进到了系统,在提权或者进一步信息收集的过程中,我们会获得一些日志文件,根据这些日志文件我们需要进一步的分析。

下面是kali官方给的日志文件,根据这个日志,讲述一下信息收集的方法:

 

1. 目录权限升级和解压

 

2. 查看具体内容

3. 过滤IP地址信息

4. 过滤IP地址并去重复

root@Fkali:/tmp/test# cat access_log.txt | cut -d " " -f 1 |sort -u
201.21.152.44
208.115.113.91
208.54.80.244
208.68.234.99
70.194.129.34
72.133.47.242
88.112.192.2
98.238.13.253
99.127.177.95

 5. 去重后统计IP地址的访问次数

root@Fkali:/tmp/test# cat access_log.txt | cut -d " " -f 1 |sort| uniq -c
      1 201.21.152.44
     59 208.115.113.91
     22 208.54.80.244
   1038 208.68.234.99
      8 70.194.129.34
      8 72.133.47.242
      8 88.112.192.2
      8 98.238.13.253
     21 99.127.177.95

 6.对于去重IP地址访问次数排序

7. 查看第一个1000多次请求的ip地址对应log

 8. 通过上面的结果,可以看出多次请求/admin这个接口。对这个接口进行统计查看

cat access_log.txt | grep 208.68.234.99 | grep "/admin" | sort -u

9. 从上面的分析可以看到,这个ip地址对/admin地址进行了爆破等相关操作,而且从结果可以看出,爆破应该已经成功了。

上面是针对日志文件分析的思路,这边也感谢yuan老师的讲解

举报

相关推荐

0 条评论