网安 - 专业的网络安全产业、社区、知识平台

渗透过程中日志信息分析示例!!!

VSole2023-08-24 09:26:25

渗透过程中,我们可能用普通账号进到了系统,在提权或者进一步信息收集的过程中,我们会获得一些日志文件,根据这些日志文件我们需要进一步的分析。

下面是kali官方给的日志文件,根据这个日志,讲述一下信息收集的方法:

wget http://www.offensive-security.com/pwk-files/access_log.txt.gz

1. 目录权限升级和解压

2. 查看具体内容

root@Fkali:/tmp/test# more  access_log.txt 201.21.152.44 - - [25/Apr/2013:14:05:35 -0700] "GET /favicon.ico HTTP/1.1" 404 89 "-" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31" "random-site.com"70.194.129.34 - - [25/Apr/2013:14:10:48 -0700] "GET /include/jquery.jshowoff.min.js HTTP/1.1" 200 2553 "http://www.random-site.com/" "Mozilla/5.0 (Linux; U; Android 4.1.2; en-us; SCH-I535 Build/JZO54K) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30" "www.random-site.com"70.194.129.34 - - [25/Apr/2013:14:10:48 -0700] "GET /include/main.css HTTP/1.1" 304 - "http://www.random-site.com/" "Mozilla/5.0 (Linux; U; Android 4.1.2; en-us; SCH-I535 Build/JZO54K) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30" "www.random-site.com"70.194.129.34 - - [25/Apr/2013:14:10:49 -0700] "GET /images/menu/2ny.png HTTP/1.1" 200 2732 "http://www.random-site.com/" "Mozilla/5.0 (Linux; U; Android 4.1.2; en-us; SCH-I535 Build/JZO54K) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30" "www.random-site.com"70.194.129.34 - - [25/Apr/2013:14:10:58 -0700] "GET /chicago/ HTTP/1.1" 200 7451 "http://www.random-site.com/" "Mozilla/5.0 (Linux; U; Android 4.1.2; en-us; SCH-I535 Build/JZO54K) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30" "random-site.com"70.194.129.34 - - [25/Apr/2013:14:10:58 -0700] "GET /include/jquery.js HTTP/1.1" 304 - "http://random-site.com/chicago/" "Mozilla/5.0 (Linux; U; Android 4.1.2; en-us; SCH-I535 Build/JZO54K) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30" "random-site.com"70.194.129.34 - - [25/Apr/2013:14:10:59 -0700] "GET /images/header.png HTTP/1.1" 200 13610 "http://random-site.com/chicago/" "Mozilla/5.0 (Linux; U; Android 4.1.2; en-us; SCH-I535 Build/JZO54K) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30" "random-site.com"70.194.129.34 - - [25/Apr/2013:14:11:00 -0700] "GET /favicon.ico HTTP/1.1" 404 89 "http://random-site.com/chicago/" "Mozilla/5.0 (Linux; U; Android 4.1.2; en-us; SCH-I535 Build/JZO54K) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30" "random-site.com"88.112.192.2 - - [25/Apr/2013:14:11:13 -0700] "GET / HTTP/1.1" 200 4135 "http://startuplife.fi/you-know-you-are-in-san-francisco-when-your-favorite-spare-time-activities-include-eating-or-drinking/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.65 Safari/537.31" "www.random-site.com"88.112.192.2 - - [25/Apr/2013:14:11:14 -0700] "GET /include/jquery.jshowoff.min.js HTTP/1.1" 200 6227 "http://www.random-site.com/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.65 Safari/537.31" "www.random-site.com"88.112.192.2 - - [25/Apr/2013:14:11:14 -0700] "GET /include/jquery.js HTTP/1.1" 200 25139 "http://www.random-site.com/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.65 Safari/537.31" "www.random-site.com"88.112.192.2 - - [25/Apr/2013:14:11:14 -0700] "GET /include/jshowoff.css HTTP/1.1" 200 1045 "http://www.random-site.com/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.65 Safari/537.31" "www.random-site.com"88.112.192.2 - - [25/Apr/2013:14:11:14 -0700] "GET /include/main.css HTTP/1.1" 200 2638 "http://www.random-site.com/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.65 Safari/537.31" "www.random-site.com"88.112.192.2 - - [25/Apr/2013:14:11:20 -0700] "GET /include/jquery.js HTTP/1.1" 200 25139 "http://random-site.com/san_francisco/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.65 Safari/537.31" "random-site.com"88.112.192.2 - - [25/Apr/2013:14:11:22 -0700] "GET /san_francisco/images/mainimages.jpg HTTP/1.1" 200 60342 "http://random-site.com/san_francisco/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.65 Safari/537.31" "random-site.com"88.112.192.2 - - [25/Apr/2013:14:11:23 -0700] "GET /favicon.ico HTTP/1.1" 404 89 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.65 Safari/537.31" "random-site.com"208.68.234.99 - - [22/Apr/2013:07:51:20 -0500] "GET //admin HTTP/1.1" 401 742 "-" "Teh Forest Lobster"208.68.234.99 - - [22/Apr/2013:07:51:20 -0500] "GET //admin HTTP/1.1" 401 742 "-" "Teh Forest Lobster"208.68.234.99 - - [22/Apr/2013:07:51:20 -0500] "GET //admin HTTP/1.1" 401 742 "-" "Teh Forest Lobster"208.68.234.99 - - [22/Apr/2013:07:51:20 -0500] "GET //admin HTTP/1.1" 401 742 "-" "Teh Forest Lobster"208.68.234.99 - - [22/Apr/2013:07:51:20 -0500] "GET //admin HTTP/1.1" 401 742 "-" "Teh Forest Lobster"208.68.234.99 - - [22/Apr/2013:07:51:20 -0500] "GET //admin HTTP/1.1" 401 742 "-" "Teh Forest Lobster"

可以看到这边完全是一个web的请求信息。

3. 过滤IP地址信息

root@Fkali:/tmp/test# cat access_log.txt | cut -d " " -f 1

4.过滤IP地址并去重复

root@Fkali:/tmp/test# cat access_log.txt | cut -d " " -f 1 |sort -u201.21.152.44208.115.113.91208.54.80.244208.68.234.9970.194.129.3472.133.47.24288.112.192.298.238.13.25399.127.177.95

 5. 去重后统计IP地址的访问次数

root@Fkali:/tmp/test# cat access_log.txt | cut -d " " -f 1 |sort| uniq -c      1 201.21.152.44     59 208.115.113.91     22 208.54.80.244   1038 208.68.234.99      8 70.194.129.34      8 72.133.47.242      8 88.112.192.2      8 98.238.13.253     21 99.127.177.95

6.对于去重IP地址访问次数排序

root@Fkali:/tmp/test# cat access_log.txt | cut -d " " -f 1 |sort| uniq -c | sort -run   1038 208.68.234.99     59 208.115.113.91     22 208.54.80.244     21 99.127.177.95      8 70.194.129.34      1 201.21.152.44

7. 查看第一个1000多次请求的ip地址对应log

cat access_log.txt | grep 208.68.234.99

8. 通过上面的结果,可以看出多次请求/admin这个接口,对这个接口进行统计查看

cat access_log.txt | grep 208.68.234.99 | grep "/admin" | sort -u

9. 从上面的分析可以看到,这个ip地址对/admin地址进行了爆破等相关操作,而且从结果可以看出,爆破应该已经成功了。

上面是针对日志文件分析的思路,这边也感谢yuan老师的讲解

mozillasafari
本作品采用《CC 协议》,转载必须注明作者和本文链接
黑客只需监视智能手机传感器就可以窃取你的密码
2022-08-17 18:00:00
如今,普通的智能手机都配备了各种传感器,比如GPS、摄像头、麦克风、加速计、磁强计、接近度、陀螺仪、计步器和NFC等等。“尽管存在非常真实的风险,但当我们询问人们最关心的传感器时,我们发现感知风险与理解之间存在直接关联,”梅尔内扎德说。“因此,人们对摄像头和GPS的关注远远超过了对无声传感器的关注。”
14种全新的浏览器跨站泄漏攻击
2021-12-07 09:46:47
来自波鸿鲁尔大学(RUB)和Niederrhein应用科学大学的IT安全研究人员发现了14种针对现代网络浏览器的新型“XS-Leak”跨站数据泄漏攻击,包括Chrome、Edge、SafariMozilla火狐浏览器都是攻击目标。
苹果 Safari浏览器新漏洞敲响跨站用户跟踪的警钟
2022-01-25 12:50:59
防欺诈软件公司 FingerprintJS 日前披露,Safari 15中的IndexedDB API执行漏洞已经被恶意网站利用,它可能被用于跟踪用户的网络浏览数据。更糟糕的是,这个漏洞甚至有暴露用户的身份的风险。
Mozilla 修补 Firefox 漏洞,阻止跨站点跟踪 Cookie
2021-02-25 10:37:25
Mozilla说,Firefox 86中的“全面Cookie保护”功能可防止侵入性的跨站点Cookie跟踪。Mozilla基金会已经发布了最新版本的Firefox浏览器,该浏览器具有新的隐私保护功能,可以挤压跨站点Cookie跟踪,并且还提供了大量安全漏洞修复程序。于周二发布的Firefox 86包含了它所谓的称为Total Cookie Protection的增强隐私功能。这项新功能隔离了每个网站分配的每个Cookie,从而防止网站以侵入性,跨站点的方式跟踪互联网用户。
深入剖析2023年的浏览器安全挑战
2023-10-19 10:58:37
近日Firefox用户被敦促使用Mozilla的最新更新,来堵住一个可能允许攻击者控制受影响系统的严重漏洞。在此之前,微软Edge、谷歌Chrome和苹果Safari浏览器都进行了类似的更新,所有这些浏览器都受到WebP代码库中一个漏洞的严重影响。
Windows 10、iOS、Chrome 等在天府杯比赛中被黑客入侵
2020-11-09 16:58:55
来自Adobe,Apple,Google,Microsoft,Mozilla和Samsung的多种软件产品在天府杯2020中成功应用了以前看不见的漏洞。黑客竞赛展示了针对多种平台的黑客尝试,包括: Adobe PDF阅读器运行iOS 14和Safari浏览器的Apple iPhone 11 Pro华硕RT-AX86U路由器CentOS的8Docker社区版谷歌浏览器Microsoft Windows 10 v2004版火狐浏览器运行Android 10的三星Galaxy S20TP-Link TL-WDR7660路由器VMware ESXi虚拟机管理程序 类似于Pwn2Own的天府杯,是根据该国的一项政府法规于2018年启动的,该法规由于国家安全问题而禁止安全研究人员参加国际黑客竞赛。
面向 Web 生态系统的本地安全防御
2020-07-28 11:05:04
*随着Chrome 83的最新发布以及即将发布的Mozilla Firefox 79的发布,Web开发人员正在设计更强大的新安全机制,以保护其应用程序免受常见Web漏洞的侵害。在本文中,将介绍信息安全工程团队是如何在Google内部署“受信...
Google Chrome WebRTC堆缓冲区溢出漏洞安全风险通告
2023-12-22 11:40:38
漏洞概述  漏洞名称Google Chrome WebRTC 堆缓冲区溢出漏洞漏洞编号QVD-2023-48180,CVE-2023-7024公开时间2023-12-20影响量级千万级奇安信评级高危CVSS 3.1分数8.8威胁类型代码执行、拒绝服务利用可能性高POC状态未公开在野利用状态已发现EXP状态未公开技术细节状态未公开利用条件:需要用户交互。01 漏洞详情影
CVE-2023-5129:libwebp开源库10分漏洞
2023-10-07 14:16:09
谷歌为libwebp漏洞分配新的CVE编号,CVSS评分10分。
VSole
网络安全专家