日志分析-IIS日志分析

环境准备

https://xj.edisec.net/challenges/115

题目要求

windows系统中才有的IIS服务

既然是windows平台，当然需要rdp登录，在ssh登录失败

解题过程

phpstudy--2018站点日志.(.log文件)所在路径，提供绝对路径

Windows服务的日志一般有固定位置

一般默认在c盘的inetpub\logs\LogFiles\

c:\inetpub\logs\LogFiles
# 可以通过下面的命令快速查找 %SystemDrive%是系统环境变量 等效于 c:\ 
%SystemDrive%\inetpub\logs\LogFiles\

定位文件夹，发现两个文件夹

在W3SVC2中，找到像log日志的文件

flag{C:\inetpub\logs\LogFiles\W3SVC2}

系统web日志中状态码为200请求的数量是多少?

下载网站日志到本地，直接利用编辑器搜索关键字

flag{2315}

web日志中出现了多少种请求方法

这里需要使用awk工具（一个处理文本的工具）

awk使用方法

linux uniq 和 sort - 为之。 - 博客园

awk '{print $4}' u_ex250220.log | sort| uniq -c 
# 提取日志的第四个字段 排序（ASCII） 统计相邻重复的行并计数

flag{7}

存在文件上传漏洞的路径

在phpstudy路径下找到emlog文件夹

直接搜索emlog的相关漏洞

在日志中查找执行关键字

cat u_ex250220.log| grep "admin/plugin"

flag{/emlog/admin/plugin.php}

攻击者成功上传并且利用成功的webshell的文件名？

找到一个后门，但是答案不是这个

windows路径下还有一个，如果文件多，可以download源码，用D盾进行扫描

flag{window.php}

至此，完成所有题目。

总结

1、要了解Windows的IIS服务器日志一般存放的文件路径 c:\inetpub\logs

2、筛选日志可以使用相关编辑器如：

sublime Download - Sublime Text

notepad++

3、熟练使用awk，快速处理有规律的web日志，定位路径，请求方式

4、学会利用搜搜引擎，一般网站被入侵，很大概率都是利用nday，学会搜索，能够快速以攻击者的角度排查漏洞

5、下载源码，进行D盾漏扫，快速排查后门。