[隴劍杯 2021]日志分析? ? ? 題目做法及思路解析（個人分享）

問一：單位某應用程序被攻擊，請分析日志，進行作答： 網絡存在源碼泄漏，源碼文件名是_____________。(請提交帶有文件后綴的文件名，例如x.txt)。

題目思路：

分析日志，猜測黑客使用工具對網站目錄進行了掃描，直接搜索200（成功訪問網站，服務器會響應200并返回數據）查看成功訪問的日志信息

方法：

使用記事本打開日志，直接使用Ctrl+F搜索200

通過分析發現，前幾次成功訪問是訪問了網站以及index.php（默認是網站首頁，可人為修改或刪除），在之后的訪問中有通過GET方式對www.zip的訪問記錄，猜測該文件為網站泄露的源碼信息

%2e 為URL編碼的符號 "."?

flag{www.zip}

問二：單位某應用程序被攻擊，請分析日志，進行作答： 分析攻擊流量，黑客往/tmp目錄寫入一個文件，文件名為_____________。

題目思路：

根據之前題目的分析，在獲取到源碼文件之后，黑客又成功訪問了info.php，又繼而通過file和filename函數向服務器傳遞了一些數據。結合題目，黑客網/tmp目錄寫入了一個文件，可以直接通過搜索，所搜tmp文件進行分析

方法：

使用記事本打開日志，直接使用Ctrl+F搜索tmp

發現一串URL編碼的數據，進行解密，發現黑客通過filename參數向/tmp目錄傳遞了一個sess_car文件

flag{sess_car}

問三：單位某應用程序被攻擊，請分析日志，進行作答： 分析攻擊流量，黑客使用的是______類讀取了秘密文件。

題目思路：

通過之前題目的分析，我們得到了一段URL解碼后的數據，其中包含了一段序列化后的字符串，可以看出其中內容，黑客嘗試使用類讀取/flag中的內容

splfileobject是PHP5中新加入的一個文件訪問類，它繼承于php標準庫(SPL)中的Iterator和SeekableIterator接口，并提供了對文件的高效訪問和處理。splfileobject中的分頁方法可以實現分批讀取文件內容，對于大文件的處理非常有用。

方法：

直接分析解碼后的內容，發現黑客使用的類

flag{SplFileObject}（注意flag輸入時的大小寫方式）