关于墨者学院靶场的练习题

环境:墨者学院——在线靶场——电子数据取证——电子数据取证-日志分析(第1题)

背景介绍:安全工程师拿到一个日志,里面有一条上传木马的记录,找到那个上传黑客的ip。

1.访问环境,下载文件

得到log.zip,使用nodepad++打开里面的日志文件access.log。

2.查找关键字

因为提示木马文件在uploads目录下,首先查找uploads关键字,发现匹配项太多了。

然后再查找一下木马文件的后缀.php,匹配到的也很多。

3.使用正则表达式匹配字符串

结合2和3,匹配既在uploads目录,又带有php的文件。

1
2
3
使用正则表达式:uploads(?=.*php)

含义:表示查找包含“uploads”后面紧跟着php的字符串。

得到5个匹配结果,就是这个IP啦。