玄机：日志分析-IIS日志分析

题目

https://xj.edisec.net/challenges/115

站点日志路径

定位是哪个网站，这边我们是phpstudy-2018，直接去对应的日志目录下找日志

200状态码的请求数量

awk '$12==200 {count++} END {print count}' u_ex250220.log

Web日志中出现了多少种请求方法

cat u_ex250220.log | awk '{print $4}' | sort | uniq -c

通过awk筛选出请求方法，然后通过sort排序，最后通过uniq去重

• • <font style="color:rgba(0, 0, 0, 0.9);">-c</font> 选项表示在每行前添加该行内容出现的次数。

上面所有的大写方法都是请求方法

<font style="color:rgba(0, 0, 0, 0.9);">flag{7}</font>

存在文件上传漏洞的路径是什么

首先想一下，文件上传漏洞一般跟关键字upload相关，其次，文件上传漏洞的返回状态码应该是200，然后请求方法应该是POST，根据这个我们就可以构造出命令来分析

awk '$4="POST" && $12!=404 && /upload/ {print}' u_ex250220.log

攻击者上传并且利用成功的webshell的文件名是什么

常规的shell后门文件名搜一下

这里要先把网站的源码全部dump下来，上传到Linux分析

eval,assert,system,passthru

grep -rn --include=*.php 'eval('

1. 1. grep用于在文件中搜索指定的字符串。
2. 2. -r递归搜索指定目录下的所有文件。
3. 3. -n显示匹配行的行号。
4. 4. --include=*.php仅搜索扩展名为.php的文件。
5. 5. 'eval('搜索包含 eval( 的字符串。

写在最后的话

对于这种大日志分析的题目，要好好掌握类似grep、awk等大文本分析工具，会对我们的日志分析起到事半功倍的效果，同时要多思考我们的目的是什么？如果要快速定位到某条日志他的特征会是什么？我们应该怎么去写我们的语法来筛选？

工具学习文章：

grep：

https://mp.weixin.qq.com/s?__biz=MzkyNjQyMTMyOA==&mid=2247494615&idx=1&sn=171be6ec4b297b7738924f717fa11e9c&chksm=c23533e8f542bafed160a71abf7dc8318e6a331f87da2be73009b0497c6415ce1c03175e8538&cur_album_id=3699253532923543557&scene=21#wechat_redirect"

awk：

https://www.51cto.com/article/808371.html

sed：

https://www.51cto.com/article/807584.html