一次ibl日志分析

暗月博客 2019年11月21日15:46:01评论382 views字数 1580阅读5分16秒阅读模式
摘要

一次ibl日志分析            前言:过去几次 想弄蜜罐 弄点黑阔渗透网站的手法 顺带收集0day。这次果断来了某只大神。什么day我就不说了 反正是dz的,在写完这篇文章的时候 估计我还在分析中。

一次ibl日志分析

            前言:过去几次 想弄蜜罐 弄点黑阔渗透网站的手法 顺带收集0day。这次果断来了某只大神。什么day我就不说了 反正是dz的,在写完这篇文章的时候 估计我还在分析中。

        0x1: 什么是ibl格式日志

       据我所知IIS日志文件格式 有两种 一种log后缀 一种是ibl,前者是我们一般遇上的 直接拿工具分析就行了,后者是二进制文件格式需要用工具来转换,后者有个好处,占用空间少,当我们有很多站点 每天访问量特别多的时候,可以减少我们对存储空间的占用。

        0x2:何时不经意转换成ibl

        我们起初建立iis服务的时候 默认是log格式日志,何时不经意转换成ibl?这里小编以前一直是使用log格式日志,后来翻查以前安装iis扩展服务的时候,曾经安装过星外PHP5.2.17自动配置安装包 这个安装包会把我们的默认日志格式 转换成ibl ,星外的虚拟主机iis日志也是同上。

       0x3:iis日志的格式的转换

        1.找到文件地址:在system32/metabase.xml这个文件
        2.用记事本打开此文件,查找CentralBinaryLoggingEnabled的字段. 如果这个字段为TRUE 应该修改为FALSE,
         3.iisreset 重启IIS

      0x4:指定ibl格式日志文件转换

        用到的工具是 Log Parser 2.2 可到这里下载 http://www.xinyues.org/thread-965-1-1.html

        一直默认安装就可以。 接下来将指定的ibl文件转化成log文件,

        先找到对应网站的iis标识符 这里如图:

一次ibl日志分析

       986744415 这个是我们要获取网站的标识符

        命令:

C:/Program Files/Log Parser 2.2>logparser "select * into log1.txt from C:/IISLog Files/W3SVC/ra130524.ibl where siteid=986744415"

         意思是 将 标识符为986744415 路径为C:/IISLog Files/W3SVC/ra130524.ibl 的所有内容转化成以"log"格式内容 保存到当前目录 我们可以对比两份文件的大小 可以看到 ibl文件的好处 占用空间少了一半。

一次ibl日志分析

看文件内容如图:

一次ibl日志分析

可以看到的内容格式跟原来log格式存储的内容是不一样的。所以网上关于iis日志行为分析工具均分析失败。

        0x4:写工具分析

              iis日志行为分析工具 原理:将文件导入 查找特征字符串 然后再到出分析。怎么复杂的日志分析工具也是基于这个原理。

              作为一只半吊子php的菜鸟 这个脚本 当然是难不倒小编。贴上代码

        

<?php $a=file('log1.txt'); $b="fuck2.txt"; foreach($a as $key=>$vale){ if(strpos($vale,'27.202.82.212') && strpos($vale,'POST')){  fwrite(fopen($b,'a+'),$vale.'/n'); }  }  ?>

看是不是看简单,查找两个字符串,这里是查ip带有27.202.82.212请求为post的动作的数据 你也可以增加多个条件! 因为需求不一样 我这样基本就完事了 接下来看这个ip 在某个时间断做了什么事情。

如图:

一次ibl日志分析

--------我是割线-------

一次ibl日志分析

    0x5:总结  

            至此 关于我对ibl日志 从不懂到认知到熟悉到分析整个过程就这样。

            本文由(http://www.moonhack.org)原创。    

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
暗月博客
  • 本文由 发表于 2019年11月21日15:46:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一次ibl日志分析https://cn-sec.com/archives/70966.html

发表评论

匿名网友 填写信息