专栏首页FreeBufWeb攻击日志初探

Web攻击日志初探

第一章、概述

前段时间偶然间在一朋友处获得了多个系统的web日志,并被被要求针对这些日志进行分析。一时兴起,随便打开了一个,打开后发现日志数量极大,接着又打开了好几个,发现每个系统的日志量都极大的。起初准备找web日志分析工具,收集一番后对这些日志分析工具不熟悉,因此凭着经验进行分析。

联想到有的朋友可能会右这方面的需求,在此针对这些分析,我在此进行分享。

第二章、攻击日志分析及思路

开始攻击日志分析之前,首先我们需要了解到有哪些常见的web攻击日志,这里我列举如下:sql注入和上传漏洞,后文中也主要针对这两类日志进行分析。

2.1、Web日志中数据格式

在开始进行web日志分析之前,我们先要了解web日志中记录数据的情况,这里我将web日志记录的类容列举如下:

2.2、GET与POST请求包在web日志中记录的区别

了解web日志记录的的数据格式后,我们还需了解GET与POST请求在web日志中数据记录的情况。

首先我们先看一下GET数据在web日志中的记录形式:

这里我们可以看出post数据请求在web日志中记录的格式如下:

通过对GET与POST请求包进行对比,可知,GET请求中在路径后面会带参数,而POST请求则不会。

2.3、200返回码误区

通常情况下,一个web日志文件中有大量访问日志,针对如此多的访问日志我们又该如何选择?在Web日志中数据格式中我们知道,有返回码这条数据,但如果只是针对返回码进行全文搜索,则会发在查找的结果中会混有其他数据,因此我们针对协议版本和返回码一起搜索,可以得到我们需要的数据。

搜索格式如下:

这里我针对200返回码存在的误区进行一下阐述,尤其是在web日志分析中,200返回码只代表服务器针对请求作出了回应,并不代表一定成功。

由于200码表示服务器有回应,因此我们分析的主要是200返回码。

2.4、工具使用

打开一个web日志的方式有很多,可以使用txt,也可以使用其他,这里我使用Notepad++。

接下来开始攻击日志分析之旅。

2.5、sql注入日志分析

首先我们要知道sql注入有哪些类型,不同类型sql注入的攻击数据包是怎样的?通常情况下sql注入有如下几类,post注入、联合注入、延迟注入、基于错误的注入等;由于手中日志有限,进进行一下日志进行分析(本次分析仅针对GET型请求进行分析,POST类型请求在web日志无信息记录)。

  • 联合注入

联合注入通常情况下在请求的数据中会包含union这个单词,为了避免无效数据,因此我们先针对200码进行一次过滤。

首先筛选出返回码为200的日志条数:

通过200码日志筛选后我们可以获得需要的相关日志,然后对筛选出的日志进行查看,我们发现明显少掉大部分数据,借此可以查找我们需要的数据,如下:

由于这里是已明确是联合注入,因此我们可以在第二次对全网进行日志搜索,可针对union一词进行搜索:

  • 其他注入日志分析

针对其他注入日志,我们可以我们可以根据特定词进行分析,如可以通过select、’、%27、and等资产进行查找(有其他更好经验者也可以联系我进行分享)。

2.6、上传漏洞

日志筛选过程依旧如上述所说,查找到相关200日志后,针对上传中常用单词upload和uploads进行搜索,详细如下:

倘若日志量大,则可以检索到upload或uploads后在对shell脚本后缀进行检索,如:.jsp、.asp、.php等;

另外可通过日期命名的目录或者以get包传递的参数,例如pwd=caidao$cmd=whoami之类的字段进行检索确认。

第三章、web日志结合数据库日志综合分析

最后我将结合web日志和数据库日志进行一次综合分析案例,希望对大家有帮助。

  • 案例一: web日志中的post请求结合数据库信息分析

通过对日志进行查看,发现该时间点存在异常数据请求,通过web日志却无法查看详细信息,也不知做了什么操作,如图:

这是无法对该数据进行确认,但根据经验认为这个信息不正常,因此查看数据库信息,通过web操作时间,到数据库中查找对应时间,通过对比,发现该数据为注入,如图:

借此通过数据库信息做支撑,确认了攻击类型,完成对威胁的识别。

  • 案例二: webshell结合数据库日志分析

该案例是发现admin无法登录,通过对数据库日志查看,发现存在修改密码数据:

通过对修改时间进行确认,结合web日志进行分析,发现,在该时间点存在xiaoma.php文件,因此可以确认事件发生原因。

由于手中仅有日志信息,因此部分信息也只是猜测,仅供参考。

第四章、总结

Web攻击日志分析,主要是针对各类漏洞利用中常见数据和字符进行查找,状态码和常见字段进行检索,若有好的建议也可以私聊我,感谢。

本文分享自微信公众号 - FreeBuf(freebuf),作者:bbbbbbig

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-07-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 数据安全分析思想探索

    日志分析在入侵检测中的应用越来越广泛,合适的使用日志,使日志产生巨大的价值,本文旨在探讨如何让日志的价值在安全领域发挥作用。

    FB客服
  • 基于开源项目构建SIEM

    Gartner的定义:安全信息和事件管理( Security Information Event Management)技术通过对来自各种事件和上下文数据源的安...

    FB客服
  • 等保测评2.0:Windows安全审计

    a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

    FB客服
  • Springboot 整合 log4j2 日志详解

    在项目推进中,如果说第一件事是搭 Spring 框架的话,那么第二件事情就是在 Sring 基础上搭建日志框架,我想很多人都知道日志对于一个项目的重要性,尤其是...

    一个优秀的废人
  • 【案例】鹏华基金——金融领域的日志大数据实践

    数据猿导读 依托移动终端的普及和互联科技的飞速发展,金融行业需要抓住机会技术升级、积极应变。在转型过程中如何利用大数据技术发掘数据真正的价值,是当前金融业打破传...

    数据猿
  • 有赞百亿级日志系统架构设计

    原文:http://www.enmotech.com/web/detail/1/735/1.html  (复制链接,打开浏览器即可查看)

    数据和云01
  • 有赞百亿级日志系统架构设计

    日志是记录系统中各种问题信息的关键,也是一种常见的海量数据。日志平台为集团所有业务系统提供日志采集、消费、分析、存储、索引和查询的一站式日志服务。主要为了解决日...

    用户1278550
  • 日志 --- Java混合日志组件的统一管理

    十毛
  • Logan:美团点评的开源移动端基础日志库

    Logan是美团点评集团移动端基础日志组件,这个名称是Log和An的组合,代表个体日志服务。同时Logan也是“金刚狼”大叔的名号,当然我们更希望这个产品能像金...

    美团技术团队
  • CDN访问日志分析工具

    在日常使用CDN的过程中,我们会遇到各种异常的访问情况,通过查看监控信息能够获取到一些基本的信息,但是想要细致的了解访问的真实情况,往往就需要下载访问日志进行分...

    苏欣

扫码关注云+社区

领取腾讯云代金券