第二章 日志分析-apache日志分析

知识点

1.apache日志路径
Debian/Ubuntu 及其衍生版：

• 访问日志：/var/log/apache2/access.log
• 错误日志：/var/log/apache2/error.log

Red Hat/CentOS 及其衍生版：

• 访问日志：/var/log/httpd/access_log
• 错误日志：/var/log/httpd/error_log

题解:

账号密码 root apacherizhi
ssh root@IP

1、提交当天访问次数最多的IP，即黑客IP：

➜  cat /var/log/apache2/access.log.1 | awk {'print $1'} | sort | uniq -c | sort -nr
   6555 192.168.200.2
     29 ::1
      5 192.168.200.38
      1 192.168.200.48
      1 192.168.200.211

flag{192.168.200.2}

2、黑客使用的浏览器指纹是什么，提交指纹的md5：

# 直接查看/var/log/apache2/access.log.1里192.168.200.2的UA头
# 指纹:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/115.0

flag{38a19dfe5bc5c11e9bd9b90544eff8a9}
# 提交然后错了...往下翻发现了还有一个UA头如下, 为什么就不能设置两种答案...
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36

flag{2d6330f380f44ac20f3a02eed0958f66}

3、查看index.php页面被访问的次数，提交次数：

➜  cat /var/log/apache2/access.log.1 | grep -c "/index.php"
27

flag{27}

4、查看黑客IP访问了多少次，提交次数：

➜  cat /var/log/apache2/access.log.1 | awk '{print $1}' | grep "192.168.200.2" | sort | uniq -c
-c
6555 192.168.200.2
1 192.168.200.211

flag{6555}

5、查看2023年8月03日8时这一个小时内有多少IP访问，提交次数:

➜  cat /var/log/apache2/access.log.1 | awk '$4 ~ /2023:08/ {print $1}' | sort | uniq
::1
192.168.200.2
192.168.200.211
192.168.200.38
192.168.200.48

flag{4}
# 结果tmd提交4错了, 提交flag{5}才对, sb吧::1也算一个吗?

flag{5}