日志分析-Tomcat日志分析

日志分析-Tomcat日志分析

简介

小王在自己的服务器上安装配置了Tomcat，并写了几个简单的网页。但由于安全意识不足，很快就被攻击者利用了。请你帮他排查一下存在的安全问题。

RDP 端口3389 用户名/密码：Administrator/4210bf@

1、Tomcat日志所在的绝对路径是？

连接到远程主机后，在C盘进行搜索Tomcat，看到日志文件夹

flag{C:\server\apache-tomcat-11.0.5\logs}

2、攻击者对某网站进行了口令爆破。请你判断口令成功匹配的请求的响应码是？

进入日志文件夹后

看到有部分日志为空，有几个是部署的日志，打开最大的日志文件

因为题目提示为爆破故而在下翻过程中看到192.168.5.66发送大量报文在尝试

在一堆404中看到200和302，逐一尝试后

flag{302}

3、攻击者向admin.jsp的管理员留言板界面发送了恶意JS代码从而构成了存储型XSS。已知攻击者试图盗取管理员cookie，并将其发送至其本地服务器上。

题目提示攻击者一直向admin.jsp发送代码，同时在日志中发现攻击者一直向\demo发起攻击

前往该目录后，看到一个txt文件，打开

flag{5000}

4、攻击者利用执行系统命令的参数是？

已知攻击者ip，在日志中搜索（其实翻到最下面就是）

flag{ip}

5、攻击者通过某种手段遗留了后门文件，请你找到该文件并按需提交其文件中的flag

将最下方的url解码后看到攻击者遗留的文件

根据路径找到，使用base64解码后得到

flag{youmadeit}