一次偶然的机会,我的朋友给我发了一个日志文件,让我看一下服务器access.log文件,说是CTF的题目,给了它这样一个access文件,随后要了flag。因为我是专业划水的,CTF基本上不碰它,我也不知道怎么做,所以我试着分析了一下下。打开网站日志文件。文件里的内容基本都很长。浏览完日志文件,发现CTF这么直接,没有干扰流量,整个文件只有一个访客。因此,不需要找到攻击者的地址。在实际的安全事件分析过程中会有大量的正常流量,所以我会按照正常的分析过程来解释,避免任何遗漏。
我在做日志分析的时候,主要会开展404统计定位攻击者,500统计,目录遍历定位攻击者,200统计评估攻击的影响。(需要注意的是,这里的攻击取证不是司法取证,司法取证有一套完美的程序和常见注意事项。有兴趣的可以探讨一下下。)要是日志分析师经常推荐采用专业的日志分析软件开展更好的检索,要是日志文件较为小,可以直接采用notepad++开展分析。由于样本文件比较小,我在这里直接用notepad++开展分析。
首先我喜欢统计404响应的数量,因为它最能直接反映攻击流量情况。要是这种方法没有明显的效果,可以用其他方法来判断。如果有很多404状态的统计结果,利用显示所有404记录,看看404的页面(如果你不能理解404,很抱歉这里不会解释得这么详细。可以看看百度百科的“HTTP响应头404”)。这个样本日志可以清楚的看到,404流量大部分是扫描器生成的,所以可以断定这个地址非常可疑,至少在一段时间内,他在不断的试图攻击我们的服务器。由于样本文件比较容易提交,都是扫描仪生成的,所以没有500态流量,这里就不开展分析了。在分析过程中,我们记录了发现的异常IP,并从异常IP中提取出攻击流量。在这里,我们采用了notepad++正则表达式来检索全文。至于正则表达式的具体用法,请参考正则表达式的基本语法。本文主要是找192.168.8.254开头的行,返回状态是404,可以全部搜索。利用这种方法,基本上可以利用遍历500、301、302来检索攻击者的所有攻击行为。经过以上过程,我们基本可以锁定攻击者以及攻击者发起的攻击行为。这个阶段需要做的工作是评估攻击行为对目标的影响。
采用上述取证方法,找出攻击者的所有200个状态请求。这里日志里没有其他内容。从日志中可以直接看到,攻击者正在采用SQLMAP开展注入攻击,攻击成功。
易受攻击的页面是:/index.php参数是:id。为了便于分析,我先解码文件的url。有许多方法可以解码网址。例如文件比较小,可以利用软件网站在线直接解码URL解码软件,也可以利用脚本处理直接解码。利用上述分析项目,我们可以确定攻击者在服务中发现了sql注入漏洞,并成功触发和验证了sql漏洞可以被利用。随后,攻击者利用该漏洞执行其他操作。要是攻击者利用了该漏洞,影响范围涉及哪些表?我们继续分析。我在这里挣扎了3分钟。是否需要补充一些sql注入的基础知识来提高文章的完整性,我最后决定简单说一下,由于大部分人都想看这篇文章,要是还是觉得不完美对想看的人不好。利用分析,可以确定系统中存在sql注入漏洞,因此需要评估攻击者利用该漏洞读取了什么。借助mysql的特性,攻击者的阅读信息可以利用搜索fromINFORMATION_SCHEMA来依次分析。读取数据库信息,判断数据库名称的第一个字符,用这种方法依次枚举数据库名称,随后按照读取表的顺序依次分析攻击者得到的表名、列名和记录号。