[2021首届“陇剑杯”网络安全大赛] webshell
[2021首届“陇剑杯”网络安全大赛] webshell
题目描述
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:1.黑客登录系统使用的密码是___Admin123!@#___。
2.黑客修改了一个日志文件,文件的绝对路径为___/var/www/html/data/Runtime/Logs/Home/21_08_07.log__。(请确认绝对路径后再提交)
3.黑客获取webshell之后,权限是__www-data__?
4.黑客写入的webshell文件名是___1.php___。(请提交带有文件后缀的文件名,例如x.txt)
5.黑客上传的代理工具客户端名字是___frpc___。(如有字母请全部使用小写)
6.黑客代理工具的回连服务端IP是____192.168.239.123_____。
7.黑客的socks5的连接账号、密码是___0HDft16cLQJ# JTN276Gp__。(中间使用#号隔开,例如admin#passwd)
根据题干提示,黑客可能先从管理员登陆系统,搜索login,找到http回复状态码为200的包
url解密,登陆密码:Admin123!@#
ip contains "whoami"
因为有提问到用户权限,搜索whoami,第二条正常回显出了phpinfo(不知道为什么)
可以看到user:www-data
日志绝对路径:/var/www/html/data/Runtime/Logs/Home/21_08_07.log(phpinfo里面得到的,拼接一下)
ps.这是74cms的注入 可以看
https://www.cnblogs.com/trevain/p/14217628.html
从黑客管理员成功登陆之后向下看,这段base解开是一句话木马
写入的webshell文件名:1.php
再ip contains "1.php",几个请求都看一下,根据结构应该是用蚁剑链接的webshell
参数a后的内容
FBL3Zhci93d3cvaHRtbC9mcnBjLmluaQ%3D%3D&xa5d606e67883a=5B636F6D6D6F6E5D0A7365727665725F61646472203D203139322E3136382E3233392E3132330A7365727665725F706F7274203D20373737380A746F6B656E3D586133424A66326C35656E6D4E365A3741386D760A0A5B746573745F736F636B355D0A74797065203D207463700A72656D6F74655F706F7274203D383131310A706C7567696E203D20736F636B73350A706C7567696E5F75736572203D2030484446743136634C514A0A706C7567696E5F706173737764203D204A544E32373647700A7573655F656E6372797074696F6E203D20747275650A7573655F636F6D7072657373696F6E203D20747275650A
hex解密
[common]
server_addr = 192.168.239.123
server_port = 7778
token=Xa3BJf2l5enmN6Z7A8mv[test_sock5]
type = tcp
remote_port =8111
plugin = socks5
plugin_user = 0HDFt16cLQJ
plugin_passwd = JTN276Gp
use_encryption = true
use_compression = true
有个包是执行了ls,可以看到frpc.ini
[2021首届“陇剑杯”网络安全大赛] webshell相关推荐
- [2021首届“陇剑杯”网络安全大赛 决赛]内存取证writeup
决赛不能联网-手上有只有vol2.6,这道题完全死了 文章目录 [2021首届"陇剑杯"网络安全大赛 决赛]内存取证 writeup 产品密钥 匿名邮箱 远控后门 数据清除时间 [ ...
- 首届“陇剑杯”网络安全大赛线上赛圆满结束
9月14日,集结了各行业领域3020支战队.11135名网络安全精英的首届"陇剑杯"网络安全大赛线上赛圆满结束,成功拉开将于9月25日在甘肃兰州新区举行的总决赛战幕.届时,涵盖网络 ...
- 首届“陇剑杯”网络安全大赛题目wifi详解
写文章只是为了记录自己的学习,不是粘贴复制就完事了 参考 https://www.cnblogs.com/GKLBB/p/15315725.html https://www.nctry.com/244 ...
- 首届“网刃杯”网络安全大赛部分WP
这是之前打比赛写的WP,供大家参考 藏在S7里的秘密 1.修复流量包 下载流量包打开后发现提示错报 The file"S7.pcap" isn't a capture file i ...
- 2021年“深育杯“网络安全大赛Writeup
Misc 签到题 下载附件得到一张二维码 扫码关注,后台回复签到即可获得flag flag: SangFor{AaKjtQr_OjJpdA3QwBV_ndsKdn3vPgc_} Login 下载附件e ...
- 2021第二届“祥云杯”网络安全大赛 部分Writeup
文章目录 MISC ChieftainsSecret 鸣雏恋 层层取证 shuffle_code Reverse Rev_Dizzy MISC ChieftainsSecret 题目描 ...
- [陇剑杯2021] 复现
签到 此时正在进行的可能是__________协议的网络攻击.(如有字母请全部使用小写,填写样例:http.dns.ftp) NSSCTF{http} jwt-1 昨天,单位流量系统捕获了黑客攻击流量 ...
- 2021陇剑杯部分wp
2021陇剑杯 全是流量分析.麻了.只做了一部分. 参考链接 陇剑杯 个人 'WriteUp'-魔法少女雪殇 (snowywar.top) 陇剑杯Writeup(部分) - 惊觉 (leheaveng ...
- 2021 [线下]陇剑杯 wp
2021 [线下]陇剑杯 wp 前言 1.1 1.2 1.3 1.4 1.5 3.1 3.3 4.1 4.2 5.1 5.2 Tip 前言 wp由EDI yanshu师傅投稿 ,感谢yanshu师傅. ...
最新文章
- Eclipse 官宣,要干掉 VS Code,你怎么看?
- linux yield_linux内核的一些知识点(上)
- 01 小程序开发入门
- sql服务器登录名为电脑名如何修改,如何恢复数据库的账号 登录名/用户名等
- char* 和jstring转换
- oracle sql判断相等,Oracle PL/SQL判断两个字段相等或不等问题
- sql基线建立-知识准备
- java整体打印二叉树
- JEECG-P3首个开源插件诞生!CMS网站插件 Jeecg-p3-biz-cms1.0版本发布!
- 重点推荐:HP大中华区总裁孙振耀退休感言
- 马里兰大学calce电池循环测试数据集_Nature系列/Joule/Angew/EES超强盘点:水体系电池10大热点论文及发文趋势...
- noip2013 day1
- linux jvm gc日志分析,JVM之GC统计以及日志分析
- 热电传感器(1)——原理和定律
- 小猿日记 - 程序猿的日常日记(2)
- 万圣节| Huluween“魔幻洞窟”闯关之夜
- 内部收益率(二分法)
- Foxmail管理多个电子邮箱
- 个人建站赚钱的5种常见方法
- 推荐一款看书学习必备的读书笔记app