网站制作导航超链接怎么做,wordpress如何上传文件,市场营销数字营销,学生班级优化大师[陇剑杯 2021]webshell
(1)单位网站被黑客挂马#xff0c;请您从流量中分析出webshell#xff0c;进行回答#xff1a; 黑客登录系统使用的密码是_____________。得到的flag请使用NSSCTF{}格式提交。 这里我的思路是#xff0c;既然要选择的时间段是黑客登录网站以后…[陇剑杯 2021]webshell
(1)单位网站被黑客挂马请您从流量中分析出webshell进行回答 黑客登录系统使用的密码是_____________。得到的flag请使用NSSCTF{}格式提交。 这里我的思路是既然要选择的时间段是黑客登录网站以后那么也就是说当黑客第一次登陆成功时的密码就是题目所求这里直接检索关键信息是不太可能所以选择筛选login或者password 检索password 在第二个包里面查找password
成功找到了密码这里%40和%23分别是和#
在 HTML Form URL Encoded: application/x-www-form-urlencoded里可见未编码内容 检索login也可见相关内容 所以答案为: Admin123!#
(2)单位网站被黑客挂马请您从流量中分析出webshell进行回答 黑客修改了一个日志文件文件的绝对路径为_____________。请确认绝对路径后再提交。得到的flag请使用NSSCTF{}格式提交。
这里给了提示是日志文件所以这里先选择筛选.log文件 由上可知在登录成功是在101以后 所以直接往后面找就可以定位到了关键信息但是通过分析可知这里获得的是相对路径通过前面对流量包的分析可知这里使用的系统是linux那么也就是说可以猜测前面的内容应该是/var/www/html但是保险起见还是筛选一下pwd命令看看完整路径这里检测pwd是因为按照做题经验一般修改以后都会用pwd命令看看是否修改成功 这里通过检索pwd命令 发现tcp.stream eq 31中发送pwd命令请求成功回显200而且返回的信息中有根目录信息
所以答案为/var/www/html/data/Runtime/Logs/Home/21_08_07.log
3单位网站被黑客挂马请您从流量中分析出webshell进行回答 黑客获取webshell之后权限是______得到的flag请使用NSSCTF{}格式提交。
这里要求的是权限思路是先检索关键字“whoami”因为这个命令可以查看现在用户的权限状态 在317号包中有开始请求在319号包中有响应结果这里通过在http流中筛选“user”可得到所求信息 或者将这个流另存为html文件在浏览器中打开也可见信息 所以答案为www-data
4黑客写入的webshell文件名是_____________
这里根据题干信息可知文件是被写入的那么也就是说这个文件一开始是不存在于流量中的而一般的文件上传方式就是POST传参所以这里的思路是先筛选以POST传参的方式传入的流量 从流量337以后可以看出来有明显的断层变化也可以看出后面的流量都与1.php有关系所以这里猜测这个写入的文件就是1.php然后这里还是选择细看流量 在tcp.stream eq 33中,可以发现执行了shell命令通过base64编码来绕过解码可得文件内容 解码以后可以发现传入了一个一句话木马那么这里基本就可以确定可疑文件就是1.php
所以答案为1.php
5黑客上传的代理工具客户端名字是_____________。 这里有三种思路一种是继续分析黑客对1.php进行操作的流量包继而得到代理客户端的相关信息第二种是直接筛选与1.php文件相关的流量来进行分析第三种是由第四题解出的木马内容可知传入的可控参数是aaa那么直接筛选与aaa有关的流量通过对什么时候传入参数的分析来判断代理客户端的名字 这里第一二种的思路都差不多先演示第一二种
通过对含“1.php”的流量进行分析后可以发现流345比流341多了一个frpc.ini文件 第三种思路 也可以在流346中找到目标文件 所以答案为frpc.
(6)单位网站被黑客挂马请您从流量中分析出webshell进行回答 黑客代理工具的回连服务端IP是_____________。
这里的思路应该有一种是去找server_addr但是很明显筛不出来 在对前一题对1.php文件的分析中发现很多地方都有一段相同的hex值 解码 因为前面连接的时候其实就应该有代理所以没有急着往后面翻
就可以找到代理的IP192.168.239.123
所以答案为192.168.239.123
(7)单位网站被黑客挂马请您从流量中分析出webshell进行回答 黑客的socks5的连接账号、密码是______。
这个在上一级捕获的那段hex值中也可以获得 所以答案为0HDFt16cLQJ#JTN276Gp 知识点
pwd
Linux中pwd命令用于显示当前工作目录的路径。具体作用如下 显示当前工作目录路径pwd命令会打印出当前正在工作的目录的绝对路径。这对于确认当前所在位置以及在命令行中导航至特定目录非常有用。 路径信息确认有时在使用绝对路径或相对路径时需要确认当前目录的确切路径pwd命令可以提供这一信息。 脚本编程中的路径获取在编写Shell脚本或其他自动化任务时经常需要获取当前工作目录的路径pwd命令可以帮助脚本获取这一信息并进一步处理。
使用方法很简单在命令行中输入pwd并按下回车键即可
示例 ini文件
ini是initialization file的缩写即初始化文件是widows系统配置文件所采用的存储格式。
ini配置文件的后缀名也不一定必须是.ini, 也可以是.cfg, .conf或者是.txt
ini配置文件_ini文件-CSDN博客
ls查看当前目录ls / 查看根目录 ls ../ 查看上一级目录
