网站的ip地址是什么,个人主页链接是什么,南宁seo渠道哪家好,模板网站怎么建设优化[陇剑杯 2021]webshell 题目做法及思路解析#xff08;个人分享#xff09;
问一#xff1a;单位网站被黑客挂马#xff0c;请您从流量中分析出webshell#xff0c;进行回答#xff1a; 黑客登录系统使用的密码是_____________。
题目思路#xff1a;
分析题目个人分享
问一单位网站被黑客挂马请您从流量中分析出webshell进行回答 黑客登录系统使用的密码是_____________。
题目思路
分析题目黑客登录系统使用的密码可直接查看http协议中含有登录的信息
方法
http contains login查看http协议中包含login登录的流量包 查看分析流量包发现第四个流量包中存在账号密码 flag{Admin123!#}
问二单位网站被黑客挂马请您从流量中分析出webshell进行回答 黑客修改了一个日志文件文件的绝对路径为_____________。
题目思路
分析题目黑客修改了一个日志文件日志文件默认后缀为 .log可直接使用过滤命令过滤 .log进行查找。
方法
http contains .log查看http协议中包含.log日志文件后缀的流量包 在后续大量流量包中发现了 data/Runtime/Logs/Home/21_08_07.log 日志文件 但题目要求提交绝对路径此时可通过已经查看分析的流量包中发现该网站系统为Linux系统由此猜测默认目录为/var/www/html。也可以继续查看后续流量包其中存在命令执行pwd查看http流可以准确的得到网站目录为/var/www/html flag{/var/www/html/data/Runtime/Logs/Home/21_08_07.log}
问三单位网站被黑客挂马请您从流量中分析出webshell进行回答 黑客获取webshell之后权限是______
题目思路
通过之前的流量包分析已经发现黑客执行过whoami查看当前用户的命令可以通过直接查看该命令的流量包查看权限
方法
http contains whoami查看http协议中包含whoami查看当前用户的命令的流量包查看http流得到flag flag{www-data}
问四单位网站被黑客挂马请您从流量中分析出webshell进行回答 黑客写入的webshell文件名是_____________。
题目思路
在之前的分析中并没有发现黑客上传了webshell继续对后续黑客进行命令执行的流量包进行分析发现黑客将一串base64值解密后传入了1.php文件中猜测该文件为webshell
方法
接着上一题继续向下查看黑客进行命令执行的流量包发现1.php 将该段base64值进行解密得到一句话木马确认该文件为webshell flag{1.php}
问五单位网站被黑客挂马请您从流量中分析出webshell进行回答 黑客上传的代理工具客户端名字是_____________。
题目思路
通过之前的分析得知黑客利用系统漏洞进行命令执行创建了1.php的木马文件连接密码为aaa。继续对流量包进行分析查看黑客上传的1.php文件发现黑客通过该文件进行了很多操作并且都进行了URL加密可以通过工具解密进行分析。
方法
http contains 1.php过滤http协议中包含的1.php右击数据包查看http流直接查看黑客进行的操作进行分析 通过分析发现345流量包对比341流量包回显的数据中多了一个frpc.ini文件猜测该文件为黑客上传的代理工具 flag{frpc}注意flag提交时要求的提交名称
问六单位网站被黑客挂马请您从流量中分析出webshell进行回答 黑客代理工具的回连服务端IP是_____________。
题目思路
通过之前的题目我们找到了黑客创建的webshell和上传的代理工具继续分析流量包我们之前尝试解码过黑客传输的数据通过对URL解码后的数据进行分析发现了一串Hex值尝试解密
方法
继续使用 http contains 1.php 命令进行分析 因为412及以后得数据包内Hex过大无法正常读取发现343数据包内流量包内Hex值较小先尝试对其解密得到地址 flag{192.168.239.123}
问七单位网站被黑客挂马请您从流量中分析出webshell进行回答 黑客的socks5的连接账号、密码是______。中间使用#号隔开例如admin#passwd。
题目思路
同样是需要查看黑客创建webshell后传输的数据上一题目我们查找IP地址解码了Hex值后直接发现其中包含了socks5的账号密码
方法
直接查看解码后的数据 flag{0HDFt16cLQJ#JTN276Gp}
