深圳燃气公司有哪些大型网站和小企业站优化思路
环境准备
https://xj.edisec.net/challenges/115
题目要求
windows系统中才有的IIS服务
既然是windows平台,当然需要rdp登录,在ssh登录失败
解题过程
phpstudy--2018站点日志.(.log文件)所在路径,提供绝对路径
Windows服务的日志一般有固定位置
一般默认在c盘的inetpub\logs\LogFiles\
c:\inetpub\logs\LogFiles
# 可以通过下面的命令快速查找 %SystemDrive%是系统环境变量 等效于 c:\
%SystemDrive%\inetpub\logs\LogFiles\定位文件夹,发现两个文件夹
在W3SVC2中,找到像log日志的文件
flag{C:\inetpub\logs\LogFiles\W3SVC2}
系统web日志中状态码为200请求的数量是多少?
下载网站日志到本地,直接利用编辑器搜索关键字
flag{2315}
web日志中出现了多少种请求方法
这里需要使用awk工具(一个处理文本的工具)
awk使用方法
linux uniq 和 sort - 为之。 - 博客园
awk '{print $4}' u_ex250220.log | sort| uniq -c
# 提取日志的第四个字段 排序(ASCII) 统计相邻重复的行并计数
flag{7}
存在文件上传漏洞的路径
在phpstudy路径下找到emlog文件夹
直接搜索emlog的相关漏洞
在日志中查找执行关键字
cat u_ex250220.log| grep "admin/plugin"
flag{/emlog/admin/plugin.php}
攻击者成功上传并且利用成功的webshell的文件名?
找到一个后门,但是答案不是这个
windows路径下还有一个,如果文件多,可以download源码,用D盾进行扫描
flag{window.php}
至此,完成所有题目。
总结
1、要了解Windows的IIS服务器日志一般存放的文件路径 c:\inetpub\logs
2、筛选日志可以使用相关编辑器如:
sublime Download - Sublime Text
notepad++
3、熟练使用awk,快速处理有规律的web日志,定位路径,请求方式
4、学会利用搜搜引擎,一般网站被入侵,很大概率都是利用nday,学会搜索,能够快速以攻击者的角度排查漏洞
5、下载源码,进行D盾漏扫,快速排查后门。