1厦门市美亚柏科信息股份有限公司电话：(86-592)3929988 传真：(86-592)2519335技术支持热线：400-888-6688 微博：@美亚柏科 网站：玩转“Log Parser ”，轻松搞定网站日志安全分析一、开篇2 厦门市美亚柏科信息股份有限公司电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科网站：二、介绍web日志分析往往是件令人非常头疼的事情，特别是一些生产环境中的系统，每天产生的日志数量惊人，一但系统被入侵，能够追溯到攻击者的最好途径也只能是查看网站日志了。

作为安全从业人员不得不面对的通过海量日志文件找到入侵者的难题，本期我们给大家分享一些应急响应中的web日志分析相关的经验工欲善其事必先利其器，下面引出我们本期的主角logparserLog Parser 是微软免费且强大的日志分析工具，具备通用的日志分析能力，学会使用此款工具，就能够实现对windows系统日志，iis、apache、tomcat、nginx等web日志进行分析，本期我们只关注web方面的安全分析、系统日志分析等，大家有兴趣可以自己研究下载地址https:///en-us/download/details.aspx?id=24659安装过程也特别简单，安装完成后我们可以将工具的路径加入系统环境变量中，这样方便我们在任何地方调用此工具3 厦门市美亚柏科信息股份有限公司电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科网站：4厦门市美亚柏科信息股份有限公司电话：(86-592)3929988传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科 网站：图1设置完成后，我们简单运行下，不出意外我们看到时logpaser 给我们输出的帮助信息图2logparser集成了微软自身的数据库引擎，我们可以直接把一个日志文件简单理解成一个表来进行我们的操作三、输入输出-i 定义输入的日志形式logparser所有支持的日志格式如下图3其中我们常见的web服务器默认产生的日志文件对应关系如下：iis产生的日志iisw3cnginx默认日志格式ncsaapache默认日志格式ncsa格式其中还有通用的文本格式处理为textline，在遇到一些自定义格式的日志时可以使用此格式，在通过自己分割成我们需要的格式常用的输出格式-o 定义输出的日志形式5 厦门市美亚柏科信息股份有限公司电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科网站：6厦门市美亚柏科信息股份有限公司电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科 网站：图4csv 即文本形式输出datagrid 为logparser 自带一款图形化界面显示输出 例：1：查看所有字段的iis 日志信息,并以自带的图形化ui显示结果通过cmd 进入到日志目录 cd E:\logss\web2logparser –i iisw3c –o datagrid "select * from u_ex160612.log"图5为了保证性能，默认它会显示前10条2：查看时间字段，客户ip ，访问的页面三个字段并且以图形化形式输出 logparser –i iisw3c –o datagrid "select time,c-ip,cs-uri-stem from u_ex160612.log"7厦门市美亚柏科信息股份有限公司电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科 网站：图6四、com 扩展logparser 提供com 接口来扩展，支持c#语言调用，在处理一些自定义格式分析的时候可以采用此方式来扩展，更多详情可以查看官方手册五、sql 语句的支持logparser 是集成了数据库引擎的，我们可以直接使用标准的sql 语句来对日志进行筛选查询操作即可，这是这款工具的最大的亮点之一。

六、多文件的支持一般的web 日志文件都是按天进行生成的，我们有时需要对整个目录的日志文件进行查找，我们只需要对from 语句后面添加*通配符 如以下日志目录：8厦门市美亚柏科信息股份有限公司电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科 网站：图7因此我们可以构造以下语句实现多日志文件的操作 logparser–i iisw3c –o datagrid "select * from u_ex*"六、实例模拟通过后门文件定位追溯攻击者1：首选获取到后门程序的文件名(可以通过webshell 查杀工具)，如下图82：通过文件名获取所有操作后门的攻击者iplogparser -o:datagrid "select * from ex* where TO_LOWERCASE(cs-uri-stem) like '%dj888.aspx%'"图93：筛选下我们需要的字段logparser -o:datagrid "selectdate,time,c-ip,cs-method,cs-uri-stem,cs-uri-query,cs(User-Agent) from ex* whereTO_LOWERCASE(cs-uri-stem) like '%dj888.aspx%'"图104：获取得到所有访问者的ip，这里我们可能会出现很多记录，因此我们可以直接按照c-ip来进行分组logparser -o:datagrid "select c-ip from ex* where TO_LOWERCASE(cs-uri-stem) like'%dj888.aspx%' group by c-ip"这样我们就获取得到所有通过后门访问我们web系统的ip信息9 厦门市美亚柏科信息股份有限公司电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科网站：10厦门市美亚柏科信息股份有限公司电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科 网站：图11这里我们可能或获取得到很多个ip 地址，为了方便查询归属地，我们可以用纯真ip 库，也可以利用线上的批量查询，如站长之家ip 归属地批量查询等5：通过获取的ip 追溯整个攻击者的访问信息 logparser -o:datagrid "selectdate,time,c-ip,cs-method,cs-uri-stem,cs-uri-query,cs(User-Agent) from ex* where c-ip='10.xx.xx.100'"首选攻击者打开首页，没有发现任何异常图12紧接着出现了大量的head 请求，很明显开始了路径扫描图13head请求结束后，攻击者打开了上传页面图14两次post请求uploadfaceok.asp后就开始请求后门文件了，因此这个文件存在较大的安全隐患，需要重点排除，通过对脚本分析发现uploadfaceok.asp存在文件截断上传漏洞获取后门收攻击者对后门脚本提交了大量post，按照经验攻击者应该在尝试提权等操作图152：通过敏感文件分析日志一般攻击者或多或少的都会尝试下载一些资源文件，主要在扫描阶段，脱裤等行为留下的日志，通过常规后缀进行分析，.sql .zip .rar .mdb .baklogparser –i iisw3c -o:datagrid "select * from ex* where (TO_LOWERCASE(cs-uri-stem) like '%.mdb%') OR (TO_LOWERCASE(cs-uri-stem) like '%.zip%') OR11 厦门市美亚柏科信息股份有限公司电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科网站：12厦门市美亚柏科信息股份有限公司电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科 网站：(TO_LOWERCASE(cs-uri-stem) like '%.rar%') OR (TO_LOWERCASE(cs-uri-stem) like '%.bak%')"同上我们在根据这些ip去依次判断此人的访问轨迹，分析入侵者是否成功获取系统权限，和系统漏洞的入口七、通过注入语句同理我们也可以通过常见的sql 注入来找出攻击者，一般来说注入语句常见的关键字 ' and select or union 等logparser -o:datagrid "select * from ex* where (TO_LOWERCASE(cs-uri-query) like '%\%27%') OR (TO_LOWERCASE(cs-uri-query) like '%\%20and\%20%') OR (TO_LOWERCASE(cs-uri-query) like '%\%20or\%20%') OR (TO_LOWERCASE(cs-uri-query) like '%\%20union%') OR (TO_LOWERCASE(cs-uri-query) like '%\%20union')13厦门市美亚柏科信息股份有限公司电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科 网站：工具最大的好处是解放我们操作日志，让我们的分析的思路更加灵活，因此我们也可以有很多种方式找到攻击者，如八、其他方式1：分析所有ip 成功登入后台的记录，通过ip 还原到地市，找到异常登入情况 2：分析特殊时间的一些管理操作，如凌晨1-5点的一些ip3：通过一些特殊扫描器的user-agent 信息找到攻击者，如sqlmap ，awvs 默认的user-agent 4：通过一些最新的payload 做关键字来分析系统是否有被尝试利用等等九、篇外logparser 是一款优秀的日志分析工具，我们可以在此基础上封装更多的易用的可视化的工具实现自动化分析等等，更多更高级的玩法等着你十、总结渗透测试哪家强，就到厦门找安胜。