1. 웹페이지 공격 흔적 찾기
- Web Access.log 찾아보기
- 열려있는 웹페이지 확인 -> 해당 웹페이지 웹로그 저장 위치 -> access.log 확인 -> 특이점 찾기
- 열려있는 웹페이지 확인 : (netstat...?)
- 최근에 사용했던 응용프로그램 확인 : 레지스트리 분석 HKEY_USERS\NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\CIDSizeMRU
- 최근에 사용자가 접근한 프로그램 확인 : 레지스트리 분석 HKEY_USERS\NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU
- Apache 웹 로그 위치 : var/log/apache2
- 열려있는 웹페이지 확인 : (netstat...?)
- 저장된 파일 확인 -> Web Access.log 의심 파일 확인 -> 특이점 찾기
- 저장된 파일 확인 : (ls...?)
- 로그 구조 : IP 날짜시간 로그메시지
- 열려있는 웹페이지 확인 -> 해당 웹페이지 웹로그 저장 위치 -> access.log 확인 -> 특이점 찾기
- 결과
- ../../../../etc/passwd 발견 -> 파일 다운로드 또는 LFI 공격 의심
- 가장 앞 아이피 => 공격자 IP
[05/Oct/2021:08:52:04 +0000] => 공격 시각
FLAG
FLAG{날짜 시간 IP}
=> FLAG{2021_10_05_08_52_04_192_168_0_114}
