渗透过程中日志信息分析示例

渗透过程中，我们可能用普通账号进到了系统，在提权或者进一步信息收集的过程中，我们会获得一些日志文件，根据这些日志文件我们需要进一步的分析。

下面是kali官方给的日志文件，根据这个日志，讲述一下信息收集的方法：

wget http://www.offensive-security.com/pwk-files/access_log.txt.gz

1. 目录权限升级和解压

2. 查看具体内容

root@Fkali:/tmp/test# more  access_log.txt
201.21.152.44 - - [25/Apr/2013:14:05:35 -0700] "GET /favicon.ico HTTP/1.1" 404 89 "-" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31" "random-s
ite.com"
70.194.129.34 - - [25/Apr/2013:14:10:48 -0700] "GET /include/jquery.jshowoff.min.js HTTP/1.1" 200 2553 "http://www.random-site.com/" "Mozilla/5.0 (Linux; U; Android 4.1.2; en-us; SCH-I535 Build/JZO54K) Appl
eWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30" "www.random-site.com"
70.194.129.34 - - [25/Apr/2013:14:10:48 -0700] "GET /include/main.css HTTP/1.1" 304 - "http://www.random-site.com/" "Mozilla/5.0 (Linux; U; Android 4.1.2; en-us; SCH-I535 Build/JZO54K) AppleWebKit/534.30 (K
HTML, like Gecko) Version/4.0 Mobile Safari/534.30" "www.random-site.com"
70.194.129.34 - - [25/Apr/2013:14:10:49 -0700] "GET /images/menu/2ny.png HTTP/1.1" 200 2732 "http://www.random-site.com/" "Mozilla/5.0 (Linux; U; Android 4.1.2; en-us; SCH-I535 Build/JZO54K) AppleWebKit/534
.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30" "www.random-site.com"
70.194.129.34 - - [25/Apr/2013:14:10:58 -0700] "GET /chicago/ HTTP/1.1" 200 7451 "http://www.random-site.com/" "Mozilla/5.0 (Linux; U; Android 4.1.2; en-us; SCH-I535 Build/JZO54K) AppleWebKit/534.30 (KHTML,like Gecko) Version/4.0 Mobile Safari/534.30" "random-site.com"
70.194.129.34 - - [25/Apr/2013:14:10:58 -0700] "GET /include/jquery.js HTTP/1.1" 304 - "http://random-site.com/chicago/" "Mozilla/5.0 (Linux; U; Android 4.1.2; en-us; SCH-I535 Build/JZO54K) AppleWebKit/534.
30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30" "random-site.com"
70.194.129.34 - - [25/Apr/2013:14:10:59 -0700] "GET /images/header.png HTTP/1.1" 200 13610 "http://random-site.com/chicago/" "Mozilla/5.0 (Linux; U; Android 4.1.2; en-us; SCH-I535 Build/JZO54K) AppleWebKit/
534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30" "random-site.com"
70.194.129.34 - - [25/Apr/2013:14:11:00 -0700] "GET /favicon.ico HTTP/1.1" 404 89 "http://random-site.com/chicago/" "Mozilla/5.0 (Linux; U; Android 4.1.2; en-us; SCH-I535 Build/JZO54K) AppleWebKit/534.30 (K
HTML, like Gecko) Version/4.0 Mobile Safari/534.30" "random-site.com"
88.112.192.2 - - [25/Apr/2013:14:11:13 -0700] "GET / HTTP/1.1" 200 4135 "http://startuplife.fi/you-know-you-are-in-san-francisco-when-your-favorite-spare-time-activities-include-eating-or-drinking/" "Mozill
a/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.65 Safari/537.31" "www.random-site.com"
88.112.192.2 - - [25/Apr/2013:14:11:14 -0700] "GET /include/jquery.jshowoff.min.js HTTP/1.1" 200 6227 "http://www.random-site.com/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.31 (KHTML,like Gecko) Chrome/26.0.1410.65 Safari/537.31" "www.random-site.com"
88.112.192.2 - - [25/Apr/2013:14:11:14 -0700] "GET /include/jquery.js HTTP/1.1" 200 25139 "http://www.random-site.com/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.31 (KHTML, like Gecko)Chrome/26.0.1410.65 Safari/537.31" "www.random-site.com"
88.112.192.2 - - [25/Apr/2013:14:11:14 -0700] "GET /include/jshowoff.css HTTP/1.1" 200 1045 "http://www.random-site.com/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.31 (KHTML, like Geck
o) Chrome/26.0.1410.65 Safari/537.31" "www.random-site.com"
88.112.192.2 - - [25/Apr/2013:14:11:14 -0700] "GET /include/main.css HTTP/1.1" 200 2638 "http://www.random-site.com/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.31 (KHTML, like Gecko) C
hrome/26.0.1410.65 Safari/537.31" "www.random-site.com"
88.112.192.2 - - [25/Apr/2013:14:11:20 -0700] "GET /include/jquery.js HTTP/1.1" 200 25139 "http://random-site.com/san_francisco/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.31 (KHTML, l
ike Gecko) Chrome/26.0.1410.65 Safari/537.31" "random-site.com"
88.112.192.2 - - [25/Apr/2013:14:11:22 -0700] "GET /san_francisco/images/mainimages.jpg HTTP/1.1" 200 60342 "http://random-site.com/san_francisco/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKi
t/537.31 (KHTML, like Gecko) Chrome/26.0.1410.65 Safari/537.31" "random-site.com"
88.112.192.2 - - [25/Apr/2013:14:11:23 -0700] "GET /favicon.ico HTTP/1.1" 404 89 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.65 Safari/537.31""random-site.com"
208.68.234.99 - - [22/Apr/2013:07:51:20 -0500] "GET //admin HTTP/1.1" 401 742 "-" "Teh Forest Lobster"
208.68.234.99 - - [22/Apr/2013:07:51:20 -0500] "GET //admin HTTP/1.1" 401 742 "-" "Teh Forest Lobster"
208.68.234.99 - - [22/Apr/2013:07:51:20 -0500] "GET //admin HTTP/1.1" 401 742 "-" "Teh Forest Lobster"
208.68.234.99 - - [22/Apr/2013:07:51:20 -0500] "GET //admin HTTP/1.1" 401 742 "-" "Teh Forest Lobster"
208.68.234.99 - - [22/Apr/2013:07:51:20 -0500] "GET //admin HTTP/1.1" 401 742 "-" "Teh Forest Lobster"
208.68.234.99 - - [22/Apr/2013:07:51:20 -0500] "GET //admin HTTP/1.1" 401 742 "-" "Teh Forest Lobster"

可以看到这边完全是一个web的请求信息。

3. 过滤IP地址信息

root@Fkali:/tmp/test# cat access_log.txt | cut -d " " -f 1

4. 过滤IP地址并去重复

cat access_log.txt | cut -d " " -f 1 |sort -u

root@Fkali:/tmp/test# cat access_log.txt | cut -d " " -f 1 |sort -u
201.21.152.44
208.115.113.91
208.54.80.244
208.68.234.99
70.194.129.34
72.133.47.242
88.112.192.2
98.238.13.253
99.127.177.95

5. 去重后统计IP地址的访问次数

cat access_log.txt | cut -d " " -f 1 |sort| uniq -c

root@Fkali:/tmp/test# cat access_log.txt | cut -d " " -f 1 |sort| uniq -c1 201.21.152.4459 208.115.113.9122 208.54.80.2441038 208.68.234.998 70.194.129.348 72.133.47.2428 88.112.192.28 98.238.13.25321 99.127.177.95

6.对于去重IP地址访问次数排序

root@Fkali:/tmp/test# cat access_log.txt | cut -d " " -f 1 |sort| uniq -c | sort -run
root@Fkali:/tmp/test# cat access_log.txt | cut -d " " -f 1 |sort| uniq -c | sort -run1038 208.68.234.9959 208.115.113.9122 208.54.80.24421 99.127.177.958 70.194.129.341 201.21.152.44

7. 查看第一个1000多次请求的ip地址对应log

cat access_log.txt | grep 208.68.234.99

8. 通过上面的结果，可以看出多次请求/admin这个接口。对这个接口进行统计查看

cat access_log.txt | grep 208.68.234.99 | grep "/admin" | sort -u

9. 从上面的分析可以看到，这个ip地址对/admin地址进行了爆破等相关操作，而且从结果可以看出，爆破应该已经成功了。

上面是针对日志文件分析的思路，这边也感谢yuan老师的讲解

渗透过程中日志信息分析示例相关推荐

kali linux 支持什么编程语言_渗透过程中可能要用到的Kali工具小总结
渗透过程中可能要用到的Kali工具小总结写在最前面最近在搞渗透的时候,发现过程中有一些kali工具还是很适合使用的所以写一个渗透过程中可能用到的kali渗透工具的小小总结写的不对多多包涵各 ...
qtabwidget切换tab事件_某超超临界机组初压/限压切换过程中扰动原因分析
严寒夕浙江浙能台州第二发电有限责任公司［摘要］某火电厂汽轮机在初压/限压切换过程中出现负荷瞬时上升问题.从初压/限压切换的逻辑及切换过程中主要参数的变化分析,确定原因为压力控制器指令上升瞬间和转 ...
matlab换挡程序,一种基于MATLAB换挡过程中快速锁定分析数据的方法与流程
本发明涉及汽车变速器数据分析,特别的,涉及一种基于matlab换挡过程中快速锁定分析数据的方法. 背景技术: 自动变速器的核心功能是能根据驾驶员意图进行自动换挡,解放驾驶员的左脚:在自动变速器的使用过 ...
ffmpeg新手成长之路——关于flv转封装过程中编码器信息变化如何处理（困扰已久的avc sequence header更新问题）
ffmpeg新手成长之路 --关于flv转封装过程中编码器信息变化如何处理(困扰已久的avc sequence header更新问题) 一.背景介绍私有协议传输H264裸流,进行录制,使用ffmpe ...
jvm 崩溃日志设置_JVM崩溃日志信息分析
前些天,搞JNI的时候,报了个JVM崩溃的错.错误信息如下: # # An unexpected error has been detected by HotSpot Virtual Machine: ...
计算机技术在油气储运的应用,自动化技术在油气储运过程中的应用分析
马兰尤客陈震洹 [摘要]随着科技的进步与发展,自动化技术在化工行业中的应用十分广泛.油田中油气的生产中以及油气的储运过程都需要用到自动化技术,其中油气的储运主要是净化.加热.储存和输送油气等环节 ...
NFV网络云落地过程中若干问题分析
Labs 导读 NFV技术从诞生起,从根本上来说就是为了解决运营商网络演进中部署成本高,迭代更新慢,架构僵化等痛点问题.同时,在引入NFV技术前,旧有产业链相对单一,核心成员主要包括设备制造商.芯片制 ...
单体预聚合的目的是什么_聚合物在加工过程中降解可能性分析与预防
降解是聚合物加工过程中经常会出现的缺陷,本文结合聚合物降解发生的原因分析,介绍聚合物加工过程中降解发生的可能性及其预防. 聚合反应是由单体合成聚合物的反应过程.有聚合能力的低分子原料称单体.一种单体的 ...
java人名识别_HanLP中人名识别分析(示例代码)
HanLP中人名识别分析在看源码之前,先看几遍论文<基于角色标注的中国人名自动识别研究> 关于命名识别的一些问题,可参考下列一些issue: HanLP参考博客: 分词分词:给定一个字 ...

渗透过程中日志信息分析示例

渗透过程中日志信息分析示例相关推荐

最新文章

热门文章