在线靶场-墨者-电子数据取证1星-日志文件分析溯源(爆破者的IP地址)

最新推荐文章于 2024-03-04 11:47:46 发布
最新推荐文章于 2024-03-04 11:47:46 发布
阅读量489 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 在线靶场-墨者题目 文章标签: 墨者学院-靶场题目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42079912/article/details/99060898
本文通过分析网站日志,发现并定位了一次针对网站的爆破攻击。通过对7.log文件的详细解析,识别出异常的登录行为,最终确定了进行爆破攻击的IP地址157.18.85.67。此过程展示了如何从大量日志中筛选关键信息,以及如何利用这些信息来保护网站安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

打开靶场网页,下载文件并解压。
在这里插入图片描述
根据题意发现有人对网站进行爆破,分析日志找到这个人的IP地址。
使用记事本打开7.log文件。(如果记事本打开文件,加载内容过慢或内容混乱可以使用Notepad++.7.7.1软件),根据网站爆破这个信息,网站爆破是要连续不断的访问,并以POST请求方式提交。分析日志找到了符合条件的ip地址。并且还看到不断访问login.php。其中有一条数据和其他数据不一样,大部分是101,有一个是37。所以这个ip可能对网站爆破成功了。

从以上信息推断出这个ip地址157.18.85.67就是对网站进行爆破的地址。把该地址输入靶场网页,即可得到本题的key。
在这里插入图片描述

在线靶场-墨者-电子数据取证1-远程电子数据取证-服务器分析(1)
weixin_42079912的博客
08-09 293
开启靶场环境发现只给了地址端口和用户名密码 : 于是我们打开远程桌面连接,连接进去。 根据解题方向,显示隐藏文件。找到所在分区的Recycler文件夹。 使用搜索功能,搜索Recycler文件夹。搜索出来后,点进去看到key文本文件打开即可获得key。 ...
CTF-日志文件分析溯源(爆破者的IP地址)
asd158923328的博客
08-25 2883
根据题意 进入环境,下载文件,用wireshark打开 检索login.php得到ip验证得到key
[墨者学院] 日志文件分析溯源(爆破者的IP地址)
0of_blog
06-04 574
安全工程师“墨者”在维护日常网络时,发现有人对网站进行爆破墨者导出了服务器日志,请你分析日志找到这个人的IP地址1、了解日志分析方法;2、了解日志结构;3、了解日志的作用;根据提供的日志进行分析,找到IP地址,验证。/OA/login.php?a=login看到一个用户用POST对login页面连续发大量数据包。应该就是它了157.18.85.67...
日志文件分析溯源(爆破者的IP地址)
qq_36933272的博客
09-05 879
由于不知道是哪种爆破,尝试查找php,发现157.18.85.67经常访问login.php。 发现login.php有大量post请求,猜测黑客对login.php进行了爆破 输入ip157.18.85.67,得到key ...
墨者学院日志文件分析溯源(爆破者的IP地址)
m0_59436465的博客
06-07 479
post请求产生两个TCP数据包,get请求,浏览器会把http header和data一并发送出去,服务器响应200返回数据,post请求,浏览器先发送header,服务器响应100 continue,浏览器再发送data,服务器响应200 返回数据。(3)浏览器确认,并发送get请求头和数据(第三次握手,这个报文比较小,所以http会在此时进行第一次数据发送)(3)浏览器确认,并发送post请求头(第三次握手,这个报文比较小,所以http会在此时进行第一次数据发送)post请求和get请求的具体区别。
在线靶场-墨者-电子数据取证1-网络数据分析溯源(查找下载文件的内容)
weixin_42079912的博客
08-09 538
打开靶场网页,下载文件,解压后用wireshark打开。 根据题意我们知道某人从xxx.com网站上下载一压缩包,请找到压缩包内容。 从网站上下载走的是http协议,我们先过滤出http协议的数据来。 然后再使用Ctrl + F搜索zip。搜索中有一个1.zip和key.zip。看到key.zip我们便知道这个压缩包应该是题目中要查看内容的压缩包。 在wireshark中点击file>...
在线靶场-墨者-电子数据取证5-网络数据分析溯源(上传WebShell的IP地址)
weixin_42079912的博客
08-09 705
打开靶场网页,下载文件并压缩 根据题意发现有人成功上传了WebShell,请找到上传者的IP地址。 使用Wireshark打开21.pcapng文件,因为是上传WebShell,所以数据走得应该是http协议,使用POST请求方式。属于在Wireshark中输入http.request.method==POST。过滤出http协议POST请求的数据出来。查看数据,找到uploads上传,一般上传...
在线靶场-墨者-电子数据取证3-网络数据分析溯源(查找邮件内容)
weixin_42079912的博客
08-09 1096
打开靶场网页,下载文件并解压。 根据题目得知有终端給gmail@qq.com发过邮件,请找到邮件内容中的电话号码。 于是我们使用Wireshark打开16.pcapng文件。因为QQ邮箱使用的协议有:电子邮件读取协议(POP3和IMAP)、简单邮件传输协议(s mtp),所以我们先过滤s mtp协议内容。再按Ctrl + F搜索gmail@qq.com。得到一条数据。(标识邮件的收件人以 RCP...
在线靶场-墨者-电子数据取证1-远程电子数据取证-服务器分析(第5题)
weixin_42079912的博客
08-09 295
打开靶场环境,使用远程桌面连接。 方法一:进入主机后开始找寻key,最终发现key文本文件在C:WINDOWS路径下。 方法二:进入主机后,点击我的电脑>搜索>输入key进行搜索>搜索出来一个key文本文档,点开就是本题的key。 ...
在线靶场-墨者-电子数据取证1-Linux硬盘文件分析取证(MySQL操作记录)
weixin_42079912的博客
07-19 404
打开靶场网页,下载文件,下载文件后是压缩文件,解压后发现是img镜像文件。img文件需要挂载才能读取。于是下载AccessData FTK Imager软件。下载地址:https://download.youkuaiyun.com/download/sunwen551/10839742 下载完软件后,点开软件,按照下图步骤: 找到root文件里的.mysql_history文件,在文件中查看数据库更改的...
批量pingIP地址工具
03-05
网管工具,,简单操作,包含数据库,自行修改
网络数据分析溯源(爆破扫描的IP地址)
qq_36933272的博客
09-03 740
下载文件用wireshark打开数据包 http过滤 因为是爆破扫描,应该会经过数据库,表,列,字段名如用户名密码之类的查询 在分组列表搜索字符串name 发现218.19.2.199在查询,输入此ip,得到key ...
在线靶场-墨者-电子数据取证1- 安卓手机文件分析取证(Wi-Fi名称)
weixin_42079912的博客
07-18 283
首先要了解安卓手机的wifi保存信息保存位置,然后将靶场下载的压缩包进行解压。 通过查询资料发现安卓手机的wifi保存信息在:手机取证 mnt shell emulated data路径下的wpa_supplicant.conf文件中。wpa_supplicant.conf此文件可以使用电脑自带的记事本打开打开后会发现该wifi名字。 ![在这里插入图片描述](https://img-blog....
在线靶场-墨者-电子数据取证1-Linux硬盘文件分析取证(SSH过的IP)
WEB渗透测试 从入门到萌新
03-27 1789
1、加载 2、挂载 3、查看历史命令的文件 4、搜索
一个用于伪造IP地址进行爆破的BurpSuite插件:BurpFakeIP
qq_50854662的博客
09-19 512
BurpFakeIP介绍 一个用于伪造ip地址进行爆破的BurpSuite插件,burpsuite伪造ip可用于突破waf及进行安全规则绕过等场景;昨天我们分享了《BurpSuite IP代理扩展,使用AWS API网关动态更改请求:IPRotate_Burp_Extension》有同学也发现和今天推荐这个有点类似,但却又截然不同。毕竟AWS在国内确实太小众了,今天推荐的BurpFakeIP 伪造IP BurpSuite插件是你的另一个选择。 四个小功能 伪造指定ip伪造本地ip伪造随机ip随机ip
在线靶场-墨者-电子数据取证1-电子数据取证-日志分析(1)
weixin_42079912的博客
08-09 604
打开靶场网页,下载文件并解压。 直接用记事本打开,界面比较乱,而且打开后要等很久才能显示内容,拖动会有卡顿要等一会才显示,不方便分析。 下载Notepad++软件。使用Notepad++软件打开日志文件。 根据题目得知网站被上传木马,上传文件所在文件夹为uploads。 既然是上传就应该是POST的请求方式,而且上传文件夹为uploads。 所以我们可以搜索POST /uploads(post...
在线靶场-墨者-电子数据取证1-网络数据分析溯源(端口扫描的IP地址)
weixin_42079912的博客
08-09 612
打开靶场网页,下载文件并解压。 根据题意得知有一个IP在扫描445端口,利用MS17-010漏洞批量扫描服务器,找到这个IP地址(Eternalblue通过TCP端口445和139来利用S MBv1和NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意...
Pikachu 靶场搭建 / 密码爆破
weixin_51559599的博客
11-20 1268
输入用户名 admin,随便输入密码,提交,BurpSuite 拦截,发送到 Intruder 模块。服务端收到请求,然后去验证客户端请求里面带着token,如果验证成功,就向客户端返回请求的数据。而当再次输入刚刚正确的验证码时,显示用户名或密码不存在,说明一次抓包,验证码可重复利用。直接在浏览器中禁用 JS,随便输入用户名密码,不弹出验证码错误,说明成功绕过。验证成功后,服务端会生成一个token,然后把这个token发送给客户端。提交请求,BurpSuite 抓包拦截,发送到 Repeater 模块。
黑客是怎么通过IP地址攻击的?
jennycisp的博客
03-04 5039
点击开始→运行→cmd→输入 ping 加他的IP -l size -t以下可借鉴:下面介绍一种WIN9X下的入侵方法:1.取得对方IP地址如XX.XX.XX.XX,方法太多不细讲了。2.判断对方上网的地点,开个DOS窗口键入 TRACERT XX.XX.XX.XX 第4和第5行反映的信息既是对方的上网地点。3.得到对方电脑的名称,开个DOS窗口键入 NBTSTAT -A XX.XX.XX.XX 第一行是对方电脑名称 第二行是对方电脑所在工作组第三行是对方电脑的说明。
墨者学院WebShell文件上传漏洞分析溯源(1)
最新发布
04-03
### 墨者学院 WebShell 文件上传漏洞分析溯源方法 #### 背景概述 WebShell 是一种嵌入到目标服务器中的脚本程序,攻击者可以通过它远程控制受害者的服务器。文件上传漏洞通常允许攻击者通过伪造请求或其他手段绕...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值