玄机 日志分析-Tomcat日志分析 WriteUp

题目描述

1. Tomcat日志所在的绝对路径是？

2. 攻击者对某网站进行了口令爆破。请你判断口令成功匹配的请求的响应码是？

3. 攻击者向admin.jsp的管理员留言板界面发送了恶意JS代码从而构成了存储型XSS。已知攻击者试图盗取管理员cookie，并将其发送至其本地服务器上。请你判断其服务器上用于盗取cookie而监听的端口是？

4. 攻击者利用执行系统命令的参数是？

5. 攻击者通过某种手段遗留了后门文件，请你找到该文件并按需提交其文件中的flag

目标服务器是windows系统

解题过程

步骤一：Tomcat日志所在的绝对路径是？

启动服务器，然后通过电脑上的远程桌面连上去（win+R 然后输入 mstsc），连上去之后打开文件管理器，在C盘里看一下很容易就可以看到server目录，进入翻一翻就可以发现tomcat存放日志文件的位置了：

C:\server\apache-tomcat-11.0.5\logs

步骤二：攻击者对某网站进行了口令爆破。请你判断口令成功匹配的请求的响应码是？

这里因为通过cmd无法执行linux命令，且后面需要查找web中的后门，所以这里我是把整个apache-tomcat-11.0.5目录中的内容先拖到本地，然后启用cmder。

步骤二的问题说明该网站存在登录行为，即存在一个登录页面，而步骤三中提到了admin.jsp，所以我们可以先去看看admin.jsp中的内容

去找login.jsp

去看loginCheck.jsp中的内容

这里就可以清晰的看到登录模块的判断逻辑，所以如果攻击者在尝试登录则在访问记录中一定存在对loginCheck.jsp的访问记录，同时爆破成功后会发返回302状态码。

通过以下方式定位攻击者的ip、查看与登录爆破有关的访问记录：

这里可以得到黑客的ip为：192.168.5.66（极有可能）

cat  localhost_access_log.2025-03-19.txt | grep -P 'loginCheck.jsp' --color

步骤三：攻击者向admin.jsp的管理员留言板界面发送了恶意JS代码从而构成了存储型XSS。已知攻击者试图盗取管理员cookie，并将其发送至其本地服务器上。请你判断其服务器上用于盗取cookie而监听的端口是？

这里去看admin.jsp中的内容

然后去服务器中找到这个messages.txt文件，它就在demo目录下

在这里就获得了攻击者用于盗取cookie而监听的端口

步骤四：攻击者利用执行系统命令的参数是？

将拉到本地的文件整个到放到D盾里扫描

依次去看一下这三个文件

在ping.jsp里面发现该文件实现的功能就是一个ping探测功能，但是这里它是直接通过+来拼接的，所以这里应该是能够命令注入的，去看一下日志中关于ping.jsp的访问记录

可以看到这里明显是命令注入了，所以攻击者应该就是从这个页面执行系统命令的，执行系统命令的参数是ip。

步骤五：攻击者通过某种手段遗留了后门文件，请你找到该文件并按需提交其文件中的flag

这个flag就在第二个后门文件hello.jsp里

把上面那串字符串base64解码后就可以拿到flag了。因为到这里题目已经解完了，所以最后一个后门文件我就没有去分析了，如果有师傅分析了写了wp可以滴滴我，如果你愿意的话。

写在最后

今天得到玄机更新ui的消息，就直接上号了，然后发现新发布了很多题目，就想着看看能不能抢个首杀，结果还真让我抢到一个入门题的首杀，哈哈。这是我的第一个首杀，还是很有纪念意义的，所以为此写个wp来复盘一下