【玄机】日志分析-IIS日志分析
靶机网址:玄机
题目内容:
1.phpstudy-2018站点日志.(.log文件)所在路径,提供绝对路径
2.系统web日志中状态码为200请求的数量是多少
3.系统web日志中出现了多少种请求方法
4.存在文件上传漏洞的路径是什么(flag{/xxxxx/xxxxx/xxxxxx.xxx})
5.攻击者上传并且利⽤成功的webshell的⽂件名是什么
前提准备
(远程连接桌面时勾选驱动器选项方便将文件拖入本地主机进行做题)
win+R 输入 mstsc 打开 “远程桌面连接” 连接靶机
输入靶机地址和用户名后单机 “显示选项” 下拉菜单
选择“本地资源”页面,单击详细信息
勾选“驱动器”选项确定,即可连接主机
Flag1
phpstudy-2018站点日志.(.log文件)所在路径,提供绝对路径
进入 “IIS管理器” 界面,查看日志选项可以发现目录设置在 /inetpub/logs/LogFiles 下
打开网页根目录访问该路径,第二个文件夹中存放着日志文件,所以该文件为站点日志文件
Flag2
系统web日志中状态码为200请求的数量是多少
将日志文件上传到 Linux 系统中方便进行查看,查看日志文件中状态码为200的,注意空格,计数后得出状态码为200的请求数量为:2315
Flag3
系统web日志中出现了多少种请求方法
这里我根据列数使用 awk 命令进行一个筛选排序,排除后得到出现了7种请求方法
Flag4
存在文件上传漏洞的路径是什么(flag{/xxxxx/xxxxx/xxxxxx.xxx})
文件上传可能存在关键字为“upload”,如果文件上传成功的话返回值也应该不会是404,所以筛选关键字和状态码
查询后发现存在一个 /emlog/admin/plugin.php 文件可进行文件上传,尝试后该文件为文件上传漏洞路径
Flag5
攻击者上传并且利⽤成功的webshell的⽂件名是什么
前提准备的时候勾选上了“驱动器”,所以这里可以直接将网站根目录复制粘贴到我们本地主机上,使用D盾扫描后发现有两个文件存在后门,最终flag是 window.php
