[陇剑杯 2021]日志分析      题目做法及思路解析（个人分享）

问一：单位某应用程序被攻击，请分析日志，进行作答： 网络存在源码泄漏，源码文件名是_____________。(请提交带有文件后缀的文件名，例如x.txt)。

题目思路：

分析日志，猜测黑客使用工具对网站目录进行了扫描，直接搜索200（成功访问网站，服务器会响应200并返回数据）查看成功访问的日志信息

方法：

使用记事本打开日志，直接使用Ctrl+F搜索200

通过分析发现，前几次成功访问是访问了网站以及index.php（默认是网站首页，可人为修改或删除），在之后的访问中有通过GET方式对www.zip的访问记录，猜测该文件为网站泄露的源码信息

%2e 为URL编码的符号 "." 

flag{www.zip}

问二：单位某应用程序被攻击，请分析日志，进行作答： 分析攻击流量，黑客往/tmp目录写入一个文件，文件名为_____________。

题目思路：

根据之前题目的分析，在获取到源码文件之后，黑客又成功访问了info.php，又继而通过file和filename函数向服务器传递了一些数据。结合题目，黑客网/tmp目录写入了一个文件，可以直接通过搜索，所搜tmp文件进行分析

方法：

使用记事本打开日志，直接使用Ctrl+F搜索tmp

发现一串URL编码的数据，进行解密，发现黑客通过filename参数向/tmp目录传递了一个sess_car文件

flag{sess_car}

问三：单位某应用程序被攻击，请分析日志，进行作答： 分析攻击流量，黑客使用的是______类读取了秘密文件。

题目思路：

通过之前题目的分析，我们得到了一段URL解码后的数据，其中包含了一段序列化后的字符串，可以看出其中内容，黑客尝试使用类读取/flag中的内容

splfileobject是PHP5中新加入的一个文件访问类，它继承于php标准库(SPL)中的Iterator和SeekableIterator接口，并提供了对文件的高效访问和处理。splfileobject中的分页方法可以实现分批读取文件内容，对于大文件的处理非常有用。

方法：

直接分析解码后的内容，发现黑客使用的类

flag{SplFileObject}（注意flag输入时的大小写方式）