[陇剑杯 2021]webshell

[陇剑杯 2021]webshell      题目做法及思路解析(个人分享)

问一:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客登录系统使用的密码是_____________。

题目思路:

分析题目,黑客登录系统使用的密码,可直接查看http协议中含有登录的信息

方法:

http contains "login"查看http协议中包含login(登录)的流量包

查看分析流量包,发现第四个流量包中存在账号密码

flag{Admin123!@#}

问二:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客修改了一个日志文件,文件的绝对路径为_____________。

题目思路:

分析题目,黑客修改了一个日志文件,日志文件默认后缀为 .log,可直接使用过滤命令过滤 .log进行查找。

方法:

http contains ".log"查看http协议中包含.log(日志文件后缀)的流量包

在后续大量流量包中发现了 data/Runtime/Logs/Home/21_08_07.log 日志文件

但题目要求提交绝对路径,此时可通过已经查看分析的流量包中发现该网站系统为Linux系统,由此猜测默认目录为/var/www/html。也可以继续查看后续流量包,其中存在命令执行pwd,查看http流,可以准确的得到网站目录为/var/www/html

flag{/var/www/html/data/Runtime/Logs/Home/21_08_07.log}

问三:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客获取webshell之后,权限是______?

题目思路:

通过之前的流量包分析已经发现,黑客执行过whoami(查看当前用户的命令),可以通过直接查看该命令的流量包查看权限

方法:

http contains "whoami"查看http协议中包含whoami(查看当前用户的命令)的流量包,查看http流得到flag

flag{www-data}

问四:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客写入的webshell文件名是_____________。

题目思路:

在之前的分析中并没有发现黑客上传了webshell,继续对后续黑客进行命令执行的流量包进行分析,发现黑客将一串base64值解密后传入了1.php文件中,猜测该文件为webshell

方法:

接着上一题继续向下查看黑客进行命令执行的流量包,发现1.php

将该段base64值进行解密,得到一句话木马,确认该文件为webshell

flag{1.php}

问五:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客上传的代理工具客户端名字是_____________。

题目思路:

通过之前的分析得知,黑客利用系统漏洞进行命令执行创建了1.php的木马文件,连接密码为aaa。继续对流量包进行分析查看黑客上传的1.php文件,发现黑客通过该文件进行了很多操作,并且都进行了URL加密,可以通过工具解密进行分析。

方法:

http contains "1.php"过滤http协议中包含的1.php,右击数据包查看http流,直接查看黑客进行的操作进行分析

通过分析发现345流量包对比341流量包回显的数据中多了一个frpc.ini文件,猜测该文件为黑客上传的代理工具

flag{frpc}(注意flag提交时要求的提交名称)

问六:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客代理工具的回连服务端IP是_____________。

题目思路:

通过之前的题目我们找到了黑客创建的webshell和上传的代理工具,继续分析流量包,我们之前尝试解码过黑客传输的数据,通过对URL解码后的数据进行分析发现了一串Hex值,尝试解密

方法:

继续使用 http contains "1.php" 命令进行分析

因为412及以后得数据包内Hex过大,无法正常读取,发现343数据包内流量包内Hex值较小,先尝试对其解密,得到地址

flag{192.168.239.123}

问七:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客的socks5的连接账号、密码是______。(中间使用#号隔开,例如admin#passwd)。

题目思路:

同样是需要查看黑客创建webshell后传输的数据,上一题目我们查找IP地址,解码了Hex值后直接发现其中包含了socks5的账号密码

方法:

直接查看解码后的数据

flag{0HDFt16cLQJ#JTN276Gp}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/337609.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

《Aspect-Sentiment-Multiple-Opinion Triplet Extraction》论文阅读

文章目录 文章介绍文章模型encoder部分ATE任务TOWE任务ATSA任务 番外 文章地址: https://arxiv.org/abs/2110.07303v1 文章介绍 目前的关于ASTE三元组提取的方面级情感分析论文大多关注于简单的句式,比如一个方面实体仅有一个意见词加以修饰&#xff0c…

【计算机网络】TCP握手与挥手:三步奏和四步曲

这里写目录标题 前言三次握手四次挥手三次握手和四次挥手的作用TCP三次握手的作用建立连接防止已失效的连接请求建立连接防止重复连接 TCP四次挥手的作用:安全关闭连接避免数据丢失避免半开连接 总结: 总结 前言 TCP(传输控制协议&#xff09…

新 Java 与旧 Java 不同的 11 个原因

Java 已经很古老了吗?那些喋喋不休地谈论闪烁着灯光的前面板和软盘时代的老人们所使用的编程语言?或者它仍然很时尚,拥有所有最新的语言增强功能,可实现直观的编码和一流的性能?也许 Java 介于两者之间:一种…

二维码巡检系统开发及部署

** 凡尔码二维码巡检系统**是一种低代码平台;用户可通过平台开发好的组件像搭积木一般灵活搭建巡检管理平台和无纸化记录应用场景。 ** 凡尔码平台功能**组件:二维码管理、表单管理、流程管理、计划管理、权限管理、隐患管理、区域管理、记录管理、任务…

vue3+vite:封装Svg组件

前言 在项目开发过程中,以svg图片引入时,会遇到当hover态时图片颜色修改的场景,我们可能需要去引入另一张不同颜色的svg图片,或者用css方式修改,为了方便这种情况,需要封装svg组件来自定义宽高和颜色&…

(3)【Python数据分析进阶】Machine-Learning模型与算法应用-线性回归与逻辑回归

目录 一、Linear Regression线性回归应用 应用案例(一)——自定义数据(Custom data) 1、下载安装sklearn库 2、导入库函数 3、加载数据集 4、创建线性回归对象 5、模型训练 6、预测结果 7、绘制模型图像 8、应用模型进行…

Python小项目:还在为备份烦恼?这个tkinter项目帮你解决!

文章目录 1 引言2 Tkinter概览3 设计备份软件的界面4 文件夹选择逻辑5 备份方案介绍5.1 完全备份5.2 增量备份5.3 镜像备份 完整代码: import tkinter as tk from tkinter import filedialog, messagebox import os import shutil import filecmpdef choose_source(…

【K8S 云原生】K8S的对外服务—ingress

目录 一、K8S的Service 1、Service的作用 2、Service类型: 二、ingress 1、ingress的组成: 2、ingress资源的定义项: 三、nginx-ingress-controller暴露服务端的方式 1、DeploymentLoadBalancer模式: 1、工作流程图&…

vector讲解

在学习玩string后我们开始学习vector,本篇博客将对vector进行简单的介绍,还会对vector一些常用的函数进行讲解 vector的介绍 实际上vector就是一个数组的数据结构,但是vector是由C编写而成的,他和数组也有本质上的区别&#xff…

pandas操作excel

目录 一:创建excel 二:修改excel 三:查找excel 四:删除数据 五:合并excel数据 一:创建excel import pandas as pd # 创建DataFrame对象 data { Name: [Alice, Bob, Charlie], Age: [25, 30, 35], S…

ISA Server 2006部署网站对比nginx

2024年了,我还是第1次使用ISA Server 。没办法在维护一个非常古老的项目。说到ISA Server可能有小伙们不清楚,但是说到nginx大家应该都知道吧。虽然他们俩定位并不相同,但是本文中提到的需求,他俩是都可以实现。 网上找的到的教程…

力扣:(692. 前K个高频单词)

题目1: 题目链接 思路1:首先可以使用map来统计单词出现的次数。然后使用vector将pair存起来,接着使用stable_sort排序(要保证数据具有稳定性),然后返回前k个单词即可。 难点:需要写一个比较函数(仿函数&am…

SAP S/4HANA 2023 Fully-Activated Appliance 虚拟机版介绍

注:市面上所有在售虚拟机均为拷贝本人所作的虚拟机,存在各种技术问题,请知悉。 SAP S4HANA 2023 FAA版本内置了四个Client: 1、000:SAP初始Client,原则上不能动; 2、100:只激活了US…

java SSM网上小卖部管理系统myeclipse开发mysql数据库springMVC模式java编程计算机网页设计

一、源码特点 java SSM网上小卖部管理系统是一套完善的web设计系统(系统采用SSM框架进行设计开发,springspringMVCmybatis),对理解JSP java编程开发语言有帮助,系统具有完整的源 代码和数据库,系统主要…

【Docker篇】详细讲解容器相关命令

🎊专栏【Docker】 🍔喜欢的诗句:更喜岷山千里雪 三军过后尽开颜。 🎆音乐分享【如愿】 🎄欢迎并且感谢大家指出小吉的问题🥰 文章目录 🛸容器🌹相关命令🍔案例⭐创建并运…

WorkPlus Meet私有化视频会议软件-构建安全高效的内网会议体验

在企业内部,高效的会议协作是推动团队协同和工作效率的关键。而内网会议系统成为了构建安全高效的内部会议体验的必要工具。作为一家领先的内网会议系统,WorkPlus Meet以其卓越的性能和智能化的功能,助力企业实现高效安全的内部会议体验。 为…

GPU与SSD间的P2P DMA访问机制

基于PCIe(Peripheral Component Interconnect Express)总线连接CPU、独立GPU和NVMe SSD的系统架构。 在该架构中,PCIe Swicth支持GPU与SSD之间快速的点对点直接内存访问(peer-to-peer, p2p DMA)。通常情况下&#xff0…

详细版Git的下载安装与配置(Windows)

一、git的下载 Git是一个非常好用的版本控制工具。下载地址如下:Git - Downloads。建议使用国内浏览器下载,因为不用翻墙,速度快。 当你用浏览器去访问上面的地址后,下载页面会自动识别你的电脑系统,如下 点击&#…

RHEL - 为网络隔离主机构建本地软件 Repo

《OpenShift / RHEL / DevSecOps 汇总目录》 文章目录 构建本地共享软件 Repo 的方法说明准备可联网主机方法1:使用 ISO 制作本地共享 Repo方法2:使用 reposync 制作本地共享 Repo方法3:制作包含特定软件的本地独享 Repo方法4:使用…

electron-vite中的ipc通信

1. 概述 再electron中,进程间的通信通过ipcMain和ipcRenderer模块,这些通道是任意和双向的 1.1. 什么是上下文隔离进程 ipc通道是通过预加载脚本绑定到window对象的electron对象属性上的 2. 通信方式 2.1. ipcMain(也就是渲染进程向主进…