環境準備

https://xj.edisec.net/challenges/115

題目要求

windows系統中才有的IIS服務

既然是windows平臺，當然需要rdp登錄，在ssh登錄失敗

解題過程

phpstudy--2018站點日志.(.log文件)所在路徑，提供絕對路徑

Windows服務的日志一般有固定位置

一般默認在c盤的inetpub\logs\LogFiles\

c:\inetpub\logs\LogFiles
# 可以通過下面的命令快速查找 %SystemDrive%是系統環境變量 等效于 c:\ 
%SystemDrive%\inetpub\logs\LogFiles\

定位文件夾，發現兩個文件夾

在W3SVC2中，找到像log日志的文件

flag{C:\inetpub\logs\LogFiles\W3SVC2}

系統web日志中狀態碼為200請求的數量是多少?

下載網站日志到本地，直接利用編輯器搜索關鍵字

flag{2315}

web日志中出現了多少種請求方法

這里需要使用awk工具（一個處理文本的工具）

awk使用方法

linux uniq 和 sort - 為之。 - 博客園

awk '{print $4}' u_ex250220.log | sort| uniq -c 
# 提取日志的第四個字段 排序（ASCII） 統計相鄰重復的行并計數

flag{7}

存在文件上傳漏洞的路徑

在phpstudy路徑下找到emlog文件夾

直接搜索emlog的相關漏洞

在日志中查找執行關鍵字

cat u_ex250220.log| grep "admin/plugin"

flag{/emlog/admin/plugin.php}

攻擊者成功上傳并且利用成功的webshell的文件名？

找到一個后門，但是答案不是這個

windows路徑下還有一個，如果文件多，可以download源碼，用D盾進行掃描

flag{window.php}

至此，完成所有題目。

總結

1、要了解Windows的IIS服務器日志一般存放的文件路徑 c:\inetpub\logs

2、篩選日志可以使用相關編輯器如：

sublime Download - Sublime Text

notepad++

3、熟練使用awk，快速處理有規律的web日志，定位路徑，請求方式

4、學會利用搜搜引擎，一般網站被入侵，很大概率都是利用nday，學會搜索，能夠快速以攻擊者的角度排查漏洞

5、下載源碼，進行D盾漏掃，快速排查后門。