【正文】 客戶端協(xié)議版本 ? cs(UserAgent) 客戶端瀏覽器 ? cs(Referer) 引用頁 ? scstatus 操作狀態(tài)代碼，常見的有 200表示成功， 404表示找不到該頁面， 500表示程序出錯(cuò) 舉例說明日志文件格式 ? Software: Microsoft Inter Information Services ? Version: ? Date: 20230101 00:00:06 ? Fields: date time ssitename sip csmethod csuristem csuriquery sport csusername cip cs(UserAgent) scstatus scsubstatus scwin32status ? 上面代碼說明了 ? 生成軟件： Microsoft Inter Information Services ? 版本： ? 日成發(fā)生日期： 20230101 00:00:06 舉例說明日志文件格式 ? 日志記錄的格式： date 日期 time 時(shí)間 ssitename 請(qǐng)求站點(diǎn)的實(shí)例編號(hào) sip 生成日成服務(wù)器 IPcsmethod 客戶端執(zhí)行的操作 csuristem 訪問的資源 csuriquery訪問地址的參數(shù) sport端口 csusername訪問服務(wù)器的已通過身份驗(yàn)證的用戶名稱 cip cs(UserAgent)客戶端 IP scstatus操作狀態(tài)代碼 scsubstatus 子狀態(tài)代碼 scwin32status Wondows狀態(tài)代碼 舉例說明日志文件格式 ? 20230101 00:00:06 W3SVC77065997 HEAD /jxmtll/xiaozuxuexi/2023/5/ 80 Mozilla/+(patible。 LogLevel 。 ? 經(jīng)?？赡艹霈F(xiàn)的 METHOD 是 GET 、 POST 和 HEAD ； ? RESOURCE 是指瀏覽者向服務(wù)器請(qǐng)求的文檔或 URL ； ? PROTOCOL 通常是 HTTP ，后面再加上版本號(hào)，通常是 HTTP/ 。 ? 追加日志 ，服務(wù)器將對(duì)用戶訪問過程中的相關(guān)信息以追加的方式保存到日志文件中。 Web 服務(wù)模式主要有三個(gè)步驟： ? 服務(wù)請(qǐng)求 ，包含用戶端的眾多基本信息，如 IP 地址、瀏覽器類型、目標(biāo) URL 等。 ? %u 來自于認(rèn)證的遠(yuǎn)程用戶。 ? ErrorLog 命令指定了當(dāng)服務(wù)器遇到錯(cuò)誤時(shí)記錄錯(cuò)誤日志的文件名。 IIS日志文件的存放 ? 通過你的網(wǎng)站 屬性 “網(wǎng)站 ”“啟用日志 ”是否勾選可以看到日志文件是否啟用。+Windows+NT+。 入侵分析 ? 數(shù)據(jù)庫下載 ? 由于數(shù)據(jù)庫是一個(gè)網(wǎng)站的核心，如果一個(gè)人都?jí)蛘莆者@個(gè)網(wǎng)站的數(shù)據(jù)庫，那么就相當(dāng)于對(duì)這個(gè)網(wǎng)站了如指掌，就相當(dāng)于是網(wǎng)站的管理員，網(wǎng)絡(luò)安全性中最常見的一個(gè)問題就是有人會(huì)下載你的數(shù)據(jù)庫。+.NET+CLR+) 200 0 0 ? 20230816 12:38:00 W3SVC90000293 GET /admin/ id=51%20And%20(Select%20Count(name)%20from%20[master]..[sysobjects])0 80 Mozilla/+(patible。+Windows+98。 入侵分析 ? 掃描網(wǎng)站數(shù)據(jù)庫 ? 一般的數(shù)據(jù)庫下載是用戶根據(jù)程序員的編程習(xí)慣，行業(yè)里的命名規(guī)范進(jìn)行猜測(cè)，并嘗試，看是否可以獲得網(wǎng)站的數(shù)據(jù)庫， ? （ 1） 20230125 13:02:51 W3SVC77065997 GET /admin/ 80 404 0 64 ? （ 2） 20230125 13:02:51 W3SVC77065997 GET /men/ 80 404 0 64 ? （ 3） 20230125 13:02:51 W3SVC77065997 GET /ad/ 80 404 0 64 ? （ 4） 20230125 13:02:51 W3SVC77065997 GET /image/ 80 404 0 64 ? （ 5） 20230125 13:02:51 W3SVC77065997 GET /upload/ 80 404 0 64 ? 。 入侵分析 ? 20230210 06:36:24 W3SVC77065997 GET /lesson_manage/upload/40/ 80 Mozilla/+ patible。 200 0 0 ? 由上可看出，用戶請(qǐng)求 ，可能執(zhí)行的操作是 Action=MainMenu顯示主目錄。+MSIE+。+MSIE+。+SV1。+SV1。+iCafeMedia。+Sicent。+.NET+CLR+) 200 0 0 ? 由上可看出，用戶請(qǐng)求 ，可能執(zhí)行的操作是 Action=MMD執(zhí)行一定的命令。 入侵分析 ? 20230210 07:30:21 W3SVC77065997 GET /lesson_manage/upload/40/ Action=kmuma 80 Mozilla/+patible。+MSIE+。+Windows+NT+5.1。+SV1。+iCafeMedia。+Sicent。 ? （ 5） upfile， upload， file：通過這三個(gè)關(guān)鍵字的查找有可能找到用戶掛木馬，利用系統(tǒng)漏洞上傳一些自己想用的文件。 11:03:1011:03:1011:032/25/2023 11:03:10 AM 1以我獨(dú)沈久，愧君相見頻。 上午 11時(shí) 3分 10秒 上午 11時(shí) 3分 11:03: 沒有失敗，只有暫時(shí)停止成功！。 2023年 2月 上午 11時(shí) 3分 :03February 25, 2023 1少年十五二十時(shí)，步行奪得胡馬騎。 :03:1011:03:10February 25, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 2月 上午 11時(shí) 3分 :03February 25, 2023 1業(yè)余生活要有意義，不要越軌。 上午 11時(shí) 3分 10秒 上午 11時(shí) 3分 11:03: 楊柳散和風(fēng)，青山澹吾慮。 11:03:1011:03:1011:032/25/2023 11:03:10 AM 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 11:03:1011:03:1011:03Saturday, February 25, 2023 1乍見翻疑夢(mèng)，相悲各問年。 ? （ 7） 404:沒有正常響應(yīng)的找不到的頁面，由于用戶如果危害到了網(wǎng)絡(luò)安全的話，就有可能不斷的嘗試，那么就很有可能出現(xiàn)找不到的頁面。 入侵分析技巧 ? 利用查找操作 ? 因?yàn)槿罩臼强梢栽谟浭卤局写蜷_的，所以可以在打開后，在編輯菜單里選擇查找，針對(duì)用戶可能進(jìn)行的關(guān)乎網(wǎng)絡(luò)安全性的操作，查找相關(guān)的關(guān)鍵詞。+.NET+CLR+) 200 0 0 ? 由上可看出，用戶請(qǐng)求 ，可能執(zhí)行的操作 Action=ScanDriveForm掃描驅(qū)動(dòng)格式及相關(guān)。+Sice