一、access日志常见的目录
IIS
通常情况下,IIS日志文件存储在以下位置:C:\inetpub\logs\LogFiles。在这个目录下,您将看到以日期命名的子文件夹,每个子文件夹对应一个日期。在每个日期的文件夹中,您将找到具体的日志文件,通常以W3SVC开头,后面跟着一个唯一的标识符。
Apache
Apache日志一般是后面安装的日志
Windows:在安装的apache目录下
Linux:在/etc/httpd/目录下
tomcat
tomcat一般在tomcat的安装目录下,然后又一个logs文件夹下就是access日志文件。
nginx
nginx日志也是一样,一般是做代理转发的,日志文件在nginx的安装目录下的logs文件夹下面。
无论是上面哪种中间件日志,都可以用下面的方法进行查找。
- Windows:
everything下载连接:
https://www.voidtools.com/zh-cn/
使用everything搜索:
*access*.log
*access*.txt
如果存在日志文件,会存在搜索结果,下图是不存在access日志
- Linux系统:
使用命令:
find / -name "*access*"
这个命令会全盘搜索所有包含文件名access的文件
二、access日志解析
中间的日志一般包含如下部分,我们可以利用这些已知信息来定位到漏洞点,下面是tomcat的日志举例
tips:iis中间件的日志的记录时间是格林威治时间,比北京时间快八个小时,所以我们分析iis日志的时候,要减去八小时才是真实的北京时间。
分析access日志的时候,可以用emeditor软件分析,非常好用
下面以该软件为例分析一个web应急案例
已知 user.jsp 是 webshell 文件
分析日志发现在访问 user.jsp 文件前面有个用 admin 登录 tomcat 部署 war 包的记录
主机上确实存在user.war包
并且还发现存在manager.jsp是通过user.jsp上传的
