在线靶场-墨者-电子数据取证1星-电子数据取证-日志分析(第1题)

最新推荐文章于 2025-03-23 23:30:47 发布
原创 最新推荐文章于 2025-03-23 23:30:47 发布 · 604 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#墨者学院-靶场题目

通过使用Notepad++软件高效分析日志文件,快速定位到上传木马的IP地址,具体步骤包括搜索特定关键词,如POST/uploads和file.php,最终确定恶意活动来源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

打开靶场网页,下载文件并解压。
在这里插入图片描述
直接用记事本打开,界面比较乱,而且打开后要等很久才能显示内容,拖动会有卡顿要等一会才显示,不方便分析。
下载Notepad++软件。使用Notepad++软件打开日志文件。
根据题目得知网站被上传木马,上传文件所在文件夹为uploads。
在这里插入图片描述
既然是上传就应该是POST的请求方式,而且上传文件夹为uploads。
所以我们可以搜索POST /uploads(post和/uploads之间有空格)。
在这里插入图片描述
搜索出来后,还发现了file.php这个文件。很明显这是一个木马文件,所以根据POST /uploads和file.php这两个信息,我们可以知道133.1.16.173这个ip就是上传木马的ip。把这个ip输入靶场网页,即可得到key。

在线靶场-墨者-电子数据取证1-远程电子数据取证-服务器分析(1)
weixin_42079912的博客
08-09 293
开启靶场环境发现只给了地址端口和用户名密码 : 于是我们打开远程桌面连接,连接进去。 根据解方向,显示隐藏文件。找到所在分区的Recycler文件夹。 使用搜索功能,搜索Recycler文件夹。搜索出来后,点进去看到key文本文件,打开即可获得key。 ...
在线靶场-墨者-电子数据取证1-远程电子数据取证-服务器分析(第5)
weixin_42079912的博客
08-09 295
打开靶场环境,使用远程桌面连接。 方法一:进入主机后开始找寻key,最终发现key文本文件在C:WINDOWS路径下。 方法二:进入主机后,点击我的电脑>搜索>输入key进行搜索>搜索出来一个key文本文档,点开就是本的key。 ...
墨者学院-电子数据取证-日志分析(1)
qq_37850901的博客
09-26 551
墨者学院-电子数据取证-日志分析(1) 打开日志文件 CTRL+f尝试搜索 首先搜索了post,数据量太大,单独搜索PHP也是这样 未果,搜索了uploads 未果,最后通过搜索post /uploads才找到结果 ...
电子数据取证-日志分析(1)
qq_36933272的博客
09-01 816
access_log是nginx的一种日志结构:记录每一次Http请求的访问状态,用于分析每一次请求和交互,行为进行分析,依赖于log_format实现。 因为是上传木马,应该是post方式提交,木马一般是php或jsp文件 查找集中在post、(.*)php、upload这些关键词 查找到上传文件叫file.php 输入ip得到key ...
在线靶场-墨者-电子数据取证1-网络数据分析溯源(查找下载文件的内容)
weixin_42079912的博客
08-09 538
打开靶场网页,下载文件,解压后用wireshark打开。 根据意我们知道某人从xxx.com网站上下载一压缩包,请找到压缩包内容。 从网站上下载走的是http协议,我们先过滤出http协议的数据来。 然后再使用Ctrl + F搜索zip。搜索中有一个1.zip和key.zip。看到key.zip我们便知道这个压缩包应该是题目中要查看内容的压缩包。 在wireshark中点击file>...
在线靶场-墨者-电子数据取证1-Linux硬盘文件分析取证(MySQL操作记录)
weixin_42079912的博客
07-19 404
打开靶场网页,下载文件,下载文件后是压缩文件,解压后发现是img镜像文件。img文件需要挂载才能读取。于是下载AccessData FTK Imager软件。下载地址:https://download.youkuaiyun.com/download/sunwen551/10839742 下载完软件后,点开软件,按照下图步骤: 找到root文件里的.mysql_history文件,在文件中查看数据库更改的...
在线靶场-墨者-电子数据取证3-网络数据分析溯源(查找邮件内容)
weixin_42079912的博客
08-09 1096
打开靶场网页,下载文件并解压。 根据题目得知有终端給gmail@qq.com发过邮件,请找到邮件内容中的电话号码。 于是我们使用Wireshark打开16.pcapng文件。因为QQ邮箱使用的协议有:电子邮件读取协议(POP3和IMAP)、简单邮件传输协议(s mtp),所以我们先过滤s mtp协议内容。再按Ctrl + F搜索gmail@qq.com。得到一条数据。(标识邮件的收件人以 RCP...
在线靶场-墨者-电子数据取证1-日志文件分析溯源(SQL注入IP地址)
weixin_42079912的博客
07-19 453
打开靶场,下载日志文件后打开日志文件。 根据意我们知道是有sql注入。对于数据库的注入,主要是information_schema表,这里包含了数据库中表结构等关键信息,拖库时非常依赖这个表。 关注敏感系统函数和关键词,如sleep、union和select的语句等。 结合了这么多的元素,都指向了103.8.68.129这个ip,所以这个ip就是我们要找的sql注入ip地址。 将此ip地址输...
电子数据取证办案速查手册
05-02
计算机取证是一门发展非常迅速的学科,时代需要一批能不断吸收最新的知识,掌握最 新的技能,使用最新的工具,不断提高自身素质的网络精英,来应对同样在飞速进步的高科 技犯罪分子。 为电子数据取证与勘察过程中提供一本速查手册,协助办案人员快速查询一些细节性的 易遗忘的知识点,这是这本手册设计的初衷。
在线靶场-墨者-电子数据取证1-Linux硬盘文件分析取证(SSH过的IP)
WEB渗透测试 从入门到萌新
03-27 1789
1、加载 2、挂载 3、查看历史命令的文件 4、搜索
【WEB】远程电子数据取证-木马分析(1)(驱动级文件隐藏)
HAPPY
08-20 1513
【原】 https://www.mozhe.cn/bug/detail/UHpRcDlZV2J0NmxSYXFPR0g2MUxaQT09bW96aGUmozhe 在wwwroot目录下找不到应该存在的seo文件夹,根据提示,是用了驱动级文件隐藏,使得seo文件夹不可见。 【解法】 驱动级文件隐藏特征 系统目录存在如下文件: c:\WINDOWS\xlkfs.dat c:\WINDOWS...
Mysql日志分析——玄机靶场
weixin_47472573的博客
11-18 762
mysql数据库日志分析
玄机靶场——日志分析-IIS日志分析
Arzum的博客
03-23 2424
用户名:server2012密码:URSZf3A。
【玄机靶场】Linux日志分析
yujiahui0203的博客
05-16 2481
from/ 捕获括号中的内容,即登录失败的用户名。这条命令主要是在auth.log.1文件中找到包含“Failed password for root”字符串的一行,从中提取出IP信息,并且对其进行了统计,即爆破次数。这是第一次做应急响应的靶场,也是本小白的第一篇文章,其实也有很多不懂的地方,大多都是在网上查找资料完成的,这其中一些命令我这里说明的不详细,这里有篇文章写的很详细。比较重要的几个文件:登录错误信息(btmp),登录成功(wtmp),最后一次登录(lastlog),登录日志(secure)
在线靶场-墨者-电子数据取证1-电子数据取证-流量分析(1)
weixin_42079912的博客
07-19 504
打开靶场网页,下载文件,下载后的文件解压,使用wireshark打开。由于题目是说使用照片传输机密数据,所以照片传输是http协议,于是过滤http协议出来。在http协议中找到一个JPGE JFIF image这条线索。 点击这条数据,右键选择Follow进行追踪。然后就能得到flag{}里的值,把值输入靶场网站即可得到本的key。 ...
在线靶场-墨者-电子数据取证1- 安卓手机文件分析取证(Wi-Fi名称)
weixin_42079912的博客
07-18 283
首先要了解安卓手机的wifi保存信息保存位置,然后将靶场下载的压缩包进行解压。 通过查询资料发现安卓手机的wifi保存信息在:手机取证 mnt shell emulated data路径下的wpa_supplicant.conf文件中。wpa_supplicant.conf此文件可以使用电脑自带的记事本打开,打开后会发现该wifi名字。 ![在这里插入图片描述](https://img-blog....
玄机靶场——linux日志分析
来而不往非礼也
05-22 690
今天来继续来玄机靶场的Linux日志分析,再开始前先整理下日志分析一般会用到的语句Linux系统中常见的日志文件包括:/var/log/syslog 检查最近的系统活动/var/log/auth.log(或/var/log/secure)检查登录和认证日志/var/log/messages 检查系统启动和服务日志/var/log/dmesg 分析内核消息/var/log/kern.log 检查计划任务/var/log/daemon.log 检查用户和组的变更。
墨者学院WebShell文件上传漏洞分析溯源(1)
最新发布
04-03
### 墨者学院 WebShell 文件上传漏洞分析与溯源方法 #### 背景概述 WebShell 是一种嵌入到目标服务器中的脚本程序,攻击者可以通过它远程控制受害者的服务器。文件上传漏洞通常允许攻击者通过伪造请求或其他手段绕...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值