前几天参加了湖南省省赛，里面有一个溯源环节，让我想起了护网写报告的那段记忆......
粗略一看4836行流量，比赛只有2个小时的写报告时间，还好攻击方式都差不多，还是很好写的，特别是日志里面还有题目的提示
下面开始日志分析

经查看溯源日志可以发现有源ip192.168.1.15对192.168.1.26发起了攻击

采用tcp追踪流

发现攻击IP对目的ip进行了ssrf攻击，攻击者想要利用本地账户ctf绕过验证获取敏感信息

查看攻击时间为7月12日，14:06:46

之后想要利用管理员账户admin越权绕过验证获取敏感信息

时间是7月12日，14:07:19

之后又想利用file和jar伪协议读取敏感信息

发现之后又存在目录扫描行为，成功被扫描到一个后门

这里对该网站进行了webshell攻击，但是攻击失败了

随后对ip192.168.13.1进行分析 发现此ip的攻击IP和源IP是一样的，判断此IP已经失陷（因为怎么可以会有人自己打自己）

接下来分析此IP的行为，发现它想利用本地权限，发现不成功

追踪一下发现原来攻击者是想要用js污染来执行命令

但是此命令并没有执行成功，如果是

["{\"ip\": ;\"whoami\";, \"__proto__\": {\"shell\": true}}"]

就可以执行命令，这也算为上个题准备的提示
再往后面翻一下，发现又是目录扫描，但是没有扫描成功的目录

总结

总的来说攻击特征并不是很难判定，写报告的时候注意好分析逻辑和发生事件的逻辑和时间，看有没有漏掉的攻击。经常看日志也会发现一般攻击都是会被检测出来的，在护网的时候都是露头就封，但是日志太多了，蓝队也看不过来，可以偷偷干坏事