[隴劍杯 2021]簡單日志分析? ? ? 題目做法及思路解析（個人分享）

問一：某應用程序被攻擊，請分析日志后作答： 黑客攻擊的參數是______。（如有字母請全部使用小寫）。

題目思路：

分析日志文件，發現日志內沒有成功訪問的記錄（沒有服務器響應返回的200），卻發現有多次500響應，并且黑客都通過參數進行了訪問，且傳輸了一段base64編碼的值，猜測黑客通過頁面報錯的回顯信息得到了想要的內容

網頁500錯誤（500 Internal Server Error）是一種常見的HTTP狀態碼，指示Web服務器遇到了錯誤，無法完成客戶端的請求。500錯誤通常是由于服務器端的問題導致的，例如代碼錯誤、數據庫連接失敗、服務器繁忙等。

方法：

通過分析日志，得到了參數內容為user

flag{user}

問二：某應用程序被攻擊，請分析日志后作答： 黑客查看的秘密文件的絕對路徑是_____________。

題目思路：

通過之前的分析，我們知道了黑客通過user參數執行了想要執行的命令，并通過頁面的報錯回顯得了命令回顯。所以我們可以解碼黑客傳遞的內容來繼續進行分析

方法：

使用Ctrl+F搜索?user=進行查看

將base64編碼進行解碼，得到黑客查看的密碼文件

flag{/Th4s_IS_VERY_Import_Fi1e}

問三：某應用程序被攻擊，請分析日志后作答： 黑客反彈shell的ip和端口是_____________。（格式使用“ip:端口"，例如127.0.0.1:2333）。

題目思路：

通過之前對黑客傳遞編碼的分析，我們知道了黑客執行了查看當前用戶和查看密碼文件的操作，需要繼續對黑客傳遞的編碼內容進行解碼分析

方法：

使用Ctrl+F搜索?user=進行查看

將base64編碼進行解碼，注意該編碼內含有一個URL加密后的符號 “+”，需要先URL解碼后在對base64編碼解密。解碼后得到黑客反彈shell的ip和端口

%2b為URL加密后的符號 “+”

flag{192.168.2.197:8888}