【玄机】日志分析-IIS日志分析

靶机网址：玄机

题目内容：

        1.phpstudy-2018站点日志.(.log文件)所在路径，提供绝对路径
        2.系统web日志中状态码为200请求的数量是多少
        3.系统web日志中出现了多少种请求方法
        4.存在文件上传漏洞的路径是什么（flag{/xxxxx/xxxxx/xxxxxx.xxx}）
        5.攻击者上传并且利⽤成功的webshell的⽂件名是什么

前提准备

（远程连接桌面时勾选驱动器选项方便将文件拖入本地主机进行做题）

 win+R 输入 mstsc 打开 “远程桌面连接” 连接靶机

输入靶机地址和用户名后单机 “显示选项” 下拉菜单

选择“本地资源”页面，单击详细信息

勾选“驱动器”选项确定，即可连接主机

Flag1

phpstudy-2018站点日志.(.log文件)所在路径，提供绝对路径

进入 “IIS管理器” 界面，查看日志选项可以发现目录设置在 /inetpub/logs/LogFiles 下

打开网页根目录访问该路径，第二个文件夹中存放着日志文件，所以该文件为站点日志文件

Flag2

系统web日志中状态码为200请求的数量是多少

将日志文件上传到 Linux 系统中方便进行查看，查看日志文件中状态码为200的，注意空格，计数后得出状态码为200的请求数量为：2315

Flag3

系统web日志中出现了多少种请求方法

这里我根据列数使用 awk 命令进行一个筛选排序，排除后得到出现了7种请求方法

Flag4

存在文件上传漏洞的路径是什么（flag{/xxxxx/xxxxx/xxxxxx.xxx}）

文件上传可能存在关键字为“upload”，如果文件上传成功的话返回值也应该不会是404，所以筛选关键字和状态码

查询后发现存在一个 /emlog/admin/plugin.php 文件可进行文件上传，尝试后该文件为文件上传漏洞路径

Flag5

攻击者上传并且利⽤成功的webshell的⽂件名是什么

前提准备的时候勾选上了“驱动器”，所以这里可以直接将网站根目录复制粘贴到我们本地主机上，使用D盾扫描后发现有两个文件存在后门，最终flag是 window.php