玄机——IIS日志分析

07 Apr 2025

首先需要我们提供phpstudy-2018的站点日志绝对路径。在inetpub内，具体路径视题目内容而定。本题为C:\inetpub\logs\LogFiles\W3SVC2

我们先将日志导出，然后关键词检索 200 注意两边都要有空格，不然会匹配字符串中的200，搜索出有2315条请求回显为200的记录。再搜索HTTP的请求方法，经统计有GET、POST、DELETE、PUT、OPTIONS、HEAD、TRACE七种

使用python脚本处理，将访问php文件的记录全部提取出来。观察phpstudy_pro搭建的服务可知是emlog。查找emlog文件上传漏洞，得知其路径为/emlog/admin/plugin.php。

故上传路径为/emlog/admin/plugin.php

# 读取日志文件并筛选出所有POST请求的记录
log_file_path = 'u_ex250220.log'
output_file_path = 'filtered_post_requests.log'

# 打开日志文件读取，创建一个新的文件来保存POST请求记录
with open(log_file_path, 'r', encoding='utf-8') as log_file, open(output_file_path, 'w', encoding='utf-8') as output_file:
    for line in log_file:
        # 检查请求方法是否为POST，假设日志格式中包含"POST"字样
        if 'POST' in line:
            output_file.write(line)

print(f"所有POST请求的记录已经筛选并保存到：{output_file_path}")

审计漏洞描述得知上传的马一般都会在plugins目录下，我们写个python脚本将此特征记录筛选出来。但貌似并没有什么明显的GET方式RCE。换个思路，我们审计一下emlog中对应位置的上传文件，看看有无恶意文件。在plugin文件夹下翻到一个木马。