[陇剑杯 2021]webshell

2024-01-20 22:36
文章标签 2021 webshell 陇剑杯

本文主要是介绍[陇剑杯 2021]webshell,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

[陇剑杯 2021]webshell      题目做法及思路解析(个人分享)

问一:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客登录系统使用的密码是_____________。

题目思路:

分析题目,黑客登录系统使用的密码,可直接查看http协议中含有登录的信息

方法:

http contains "login"查看http协议中包含login(登录)的流量包

查看分析流量包,发现第四个流量包中存在账号密码

flag{Admin123!@#}

问二:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客修改了一个日志文件,文件的绝对路径为_____________。

题目思路:

分析题目,黑客修改了一个日志文件,日志文件默认后缀为 .log,可直接使用过滤命令过滤 .log进行查找。

方法:

http contains ".log"查看http协议中包含.log(日志文件后缀)的流量包

在后续大量流量包中发现了 data/Runtime/Logs/Home/21_08_07.log 日志文件

但题目要求提交绝对路径,此时可通过已经查看分析的流量包中发现该网站系统为Linux系统,由此猜测默认目录为/var/www/html。也可以继续查看后续流量包,其中存在命令执行pwd,查看http流,可以准确的得到网站目录为/var/www/html

flag{/var/www/html/data/Runtime/Logs/Home/21_08_07.log}

问三:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客获取webshell之后,权限是______?

题目思路:

通过之前的流量包分析已经发现,黑客执行过whoami(查看当前用户的命令),可以通过直接查看该命令的流量包查看权限

方法:

http contains "whoami"查看http协议中包含whoami(查看当前用户的命令)的流量包,查看http流得到flag

flag{www-data}

问四:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客写入的webshell文件名是_____________。

题目思路:

在之前的分析中并没有发现黑客上传了webshell,继续对后续黑客进行命令执行的流量包进行分析,发现黑客将一串base64值解密后传入了1.php文件中,猜测该文件为webshell

方法:

接着上一题继续向下查看黑客进行命令执行的流量包,发现1.php

将该段base64值进行解密,得到一句话木马,确认该文件为webshell

flag{1.php}

问五:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客上传的代理工具客户端名字是_____________。

题目思路:

通过之前的分析得知,黑客利用系统漏洞进行命令执行创建了1.php的木马文件,连接密码为aaa。继续对流量包进行分析查看黑客上传的1.php文件,发现黑客通过该文件进行了很多操作,并且都进行了URL加密,可以通过工具解密进行分析。

方法:

http contains "1.php"过滤http协议中包含的1.php,右击数据包查看http流,直接查看黑客进行的操作进行分析

通过分析发现345流量包对比341流量包回显的数据中多了一个frpc.ini文件,猜测该文件为黑客上传的代理工具

flag{frpc}(注意flag提交时要求的提交名称)

问六:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客代理工具的回连服务端IP是_____________。

题目思路:

通过之前的题目我们找到了黑客创建的webshell和上传的代理工具,继续分析流量包,我们之前尝试解码过黑客传输的数据,通过对URL解码后的数据进行分析发现了一串Hex值,尝试解密

方法:

继续使用 http contains "1.php" 命令进行分析

因为412及以后得数据包内Hex过大,无法正常读取,发现343数据包内流量包内Hex值较小,先尝试对其解密,得到地址

flag{192.168.239.123}

问七:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客的socks5的连接账号、密码是______。(中间使用#号隔开,例如admin#passwd)。

题目思路:

同样是需要查看黑客创建webshell后传输的数据,上一题目我们查找IP地址,解码了Hex值后直接发现其中包含了socks5的账号密码

方法:

直接查看解码后的数据

flag{0HDFt16cLQJ#JTN276Gp}

这篇关于[陇剑杯 2021]webshell的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/627560

相关文章

GPU 计算 CMPS224 2021 学习笔记 02

并行类型 (1)任务并行 (2)数据并行 CPU & GPU CPU和GPU拥有相互独立的内存空间,需要在两者之间相互传输数据。 (1)分配GPU内存 (2)将CPU上的数据复制到GPU上 (3)在GPU上对数据进行计算操作 (4)将计算结果从GPU复制到CPU上 (5)释放GPU内存 CUDA内存管理API (1)分配内存 cudaErro

2021-8-14 react笔记-2 创建组件 基本用法

1、目录解析 public中的index.html为入口文件 src目录中文件很乱,先整理文件夹。 新建components 放组件 新建assets放资源   ->/images      ->/css 把乱的文件放进去  修改App.js 根组件和index.js入口文件中的引入路径 2、新建组件 在components文件夹中新建[Name].js文件 //组件名首字母大写

2021-08-14 react笔记-1 安装、环境搭建、创建项目

1、环境 1、安装nodejs 2.安装react脚手架工具 //  cnpm install -g create-react-app 全局安装 2、创建项目 create-react-app [项目名称] 3、运行项目 npm strat  //cd到项目文件夹    进入这个页面  代表运行成功  4、打包 npm run build

[SWPUCTF 2021 新生赛]web方向(一到六题) 解题思路,实操解析,解题软件使用,解题方法教程

题目来源 NSSCTF | 在线CTF平台因为热爱,所以长远!NSSCTF平台秉承着开放、自由、共享的精神,欢迎每一个CTFer使用。https://www.nssctf.cn/problem   [SWPUCTF 2021 新生赛]gift_F12 这个题目简单打开后是一个网页  我们一般按F12或者是右键查看源代码。接着我们点击ctrl+f后快速查找,根据题目给的格式我们搜索c

WebShell流量特征检测_哥斯拉篇

90后用菜刀,95后用蚁剑,00后用冰蝎和哥斯拉,以phpshell连接为例,本文主要是对后三款经典的webshell管理工具进行流量分析和检测。 什么是一句话木马? 1、定义 顾名思义就是执行恶意指令的木马,通过技术手段上传到指定服务器并可以正常访问,将我们需要服务器执行的命令上传并执行 2、特点 短小精悍,功能强大,隐蔽性非常好 3、举例 php一句话木马用php语言编写的,运行

【面试个人成长】2021年过半,社招和校招的经验之谈

点击上方蓝色字体,选择“设为星标” 回复”资源“获取更多资源 长话短说。 今天有点晚,因为一些事情耽误了,文章发出来有些晚。 周末的时候和一个知识星球的读者1对1指导了一些应届生的学习路径和简历准备。 因为马上就要秋招了,有些公司的提前批已经启动。2021年已经过半了,各位。时间真是太快了。 正好周末抽了一点时间看之前买的关于面试的电子书,针对校招和社招的面试准备和需要注意的点在啰嗦几句。 校

【硬刚大数据之面试篇】2021年从零到大数据专家面试篇之Spark篇

欢迎关注博客主页:https://blog.csdn.net/u013411339 欢迎点赞、收藏、留言 ,欢迎留言交流! 本文由【王知无】原创,首发于 CSDN博客! 本文首发CSDN论坛,未经过官方和本人允许,严禁转载! 本文是对《【硬刚大数据之学习路线篇】2021年从零到大数据专家的学习指南(全面升级版)》的面试部分补充。 硬刚大数据系列文章链接: 2021年从零到大数据专家的

【硬刚大数据之面试篇】2021年从零到大数据专家面试篇之消息队列篇

📢欢迎关注博客主页:https://blog.csdn.net/u013411339 📢欢迎点赞 👍 收藏 ⭐留言 📝 ,欢迎留言交流! 📢本文由【王知无】原创,首发于 CSDN博客! 📢本文首发CSDN论坛,未经过官方和本人允许,严禁转载! 本文是对《【硬刚大数据之学习路线篇】2021年从零到大数据专家的学习指南(全面升级版)》的面试部分补充。 硬刚大数据系列文章链接:

【硬刚大数据之面试篇】2021年从零到大数据专家面试篇之SparkSQL篇

📢欢迎关注博客主页:https://blog.csdn.net/u013411339 📢欢迎点赞 👍 收藏 ⭐留言 📝 ,欢迎留言交流! 📢本文由【王知无】原创,首发于 CSDN博客! 📢本文首发CSDN论坛,未经过官方和本人允许,严禁转载! 本文是对《【硬刚大数据之学习路线篇】2021年从零到大数据专家的学习指南(全面升级版)》的面试部分补充。 硬刚大数据系列文章链接:

【硬刚大数据之面试篇】2021年从零到大数据专家面试篇之Hadoop/HDFS/Yarn篇

📢欢迎关注博客主页:https://blog.csdn.net/u013411339 📢欢迎点赞 👍 收藏 ⭐留言 📝 ,欢迎留言交流! 📢本文由【王知无】原创,首发于 CSDN博客! 📢本文首发CSDN论坛,未经过官方和本人允许,严禁转载! 本文是对《【硬刚大数据之学习路线篇】2021年从零到大数据专家的学习指南(全面升级版)》的面试部分补充。 硬刚大数据系列文章链接: