[陇剑杯 2021]简单日志分析

[陇剑杯 2021]简单日志分析      题目做法及思路解析（个人分享）

问一：某应用程序被攻击，请分析日志后作答： 黑客攻击的参数是______。（如有字母请全部使用小写）。

题目思路：

分析日志文件，发现日志内没有成功访问的记录（没有服务器响应返回的200），却发现有多次500响应，并且黑客都通过参数进行了访问，且传输了一段base64编码的值，猜测黑客通过页面报错的回显信息得到了想要的内容

网页500错误（500 Internal Server Error）是一种常见的HTTP状态码，指示Web服务器遇到了错误，无法完成客户端的请求。500错误通常是由于服务器端的问题导致的，例如代码错误、数据库连接失败、服务器繁忙等。

方法：

通过分析日志，得到了参数内容为user

flag{user}

问二：某应用程序被攻击，请分析日志后作答： 黑客查看的秘密文件的绝对路径是_____________。

题目思路：

通过之前的分析，我们知道了黑客通过user参数执行了想要执行的命令，并通过页面的报错回显得了命令回显。所以我们可以解码黑客传递的内容来继续进行分析

方法：

使用Ctrl+F搜索?user=进行查看

将base64编码进行解码，得到黑客查看的密码文件

flag{/Th4s_IS_VERY_Import_Fi1e}

问三：某应用程序被攻击，请分析日志后作答： 黑客反弹shell的ip和端口是_____________。（格式使用“ip:端口"，例如127.0.0.1:2333）。

题目思路：

通过之前对黑客传递编码的分析，我们知道了黑客执行了查看当前用户和查看密码文件的操作，需要继续对黑客传递的编码内容进行解码分析

方法：

使用Ctrl+F搜索?user=进行查看

将base64编码进行解码，注意该编码内含有一个URL加密后的符号 “+”，需要先URL解码后在对base64编码解密。解码后得到黑客反弹shell的ip和端口

%2b为URL加密后的符号 “+”

flag{192.168.2.197:8888}