[陇剑杯 2021]webshell

[陇剑杯 2021]webshell      题目做法及思路解析(个人分享)

问一:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客登录系统使用的密码是_____________。

题目思路:

分析题目,黑客登录系统使用的密码,可直接查看http协议中含有登录的信息

方法:

http contains "login"查看http协议中包含login(登录)的流量包

查看分析流量包,发现第四个流量包中存在账号密码

flag{Admin123!@#}

问二:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客修改了一个日志文件,文件的绝对路径为_____________。

题目思路:

分析题目,黑客修改了一个日志文件,日志文件默认后缀为 .log,可直接使用过滤命令过滤 .log进行查找。

方法:

http contains ".log"查看http协议中包含.log(日志文件后缀)的流量包

在后续大量流量包中发现了 data/Runtime/Logs/Home/21_08_07.log 日志文件

但题目要求提交绝对路径,此时可通过已经查看分析的流量包中发现该网站系统为Linux系统,由此猜测默认目录为/var/www/html。也可以继续查看后续流量包,其中存在命令执行pwd,查看http流,可以准确的得到网站目录为/var/www/html

flag{/var/www/html/data/Runtime/Logs/Home/21_08_07.log}

问三:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客获取webshell之后,权限是______?

题目思路:

通过之前的流量包分析已经发现,黑客执行过whoami(查看当前用户的命令),可以通过直接查看该命令的流量包查看权限

方法:

http contains "whoami"查看http协议中包含whoami(查看当前用户的命令)的流量包,查看http流得到flag

flag{www-data}

问四:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客写入的webshell文件名是_____________。

题目思路:

在之前的分析中并没有发现黑客上传了webshell,继续对后续黑客进行命令执行的流量包进行分析,发现黑客将一串base64值解密后传入了1.php文件中,猜测该文件为webshell

方法:

接着上一题继续向下查看黑客进行命令执行的流量包,发现1.php

将该段base64值进行解密,得到一句话木马,确认该文件为webshell

flag{1.php}

问五:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客上传的代理工具客户端名字是_____________。

题目思路:

通过之前的分析得知,黑客利用系统漏洞进行命令执行创建了1.php的木马文件,连接密码为aaa。继续对流量包进行分析查看黑客上传的1.php文件,发现黑客通过该文件进行了很多操作,并且都进行了URL加密,可以通过工具解密进行分析。

方法:

http contains "1.php"过滤http协议中包含的1.php,右击数据包查看http流,直接查看黑客进行的操作进行分析

通过分析发现345流量包对比341流量包回显的数据中多了一个frpc.ini文件,猜测该文件为黑客上传的代理工具

flag{frpc}(注意flag提交时要求的提交名称)

问六:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客代理工具的回连服务端IP是_____________。

题目思路:

通过之前的题目我们找到了黑客创建的webshell和上传的代理工具,继续分析流量包,我们之前尝试解码过黑客传输的数据,通过对URL解码后的数据进行分析发现了一串Hex值,尝试解密

方法:

继续使用 http contains "1.php" 命令进行分析

因为412及以后得数据包内Hex过大,无法正常读取,发现343数据包内流量包内Hex值较小,先尝试对其解密,得到地址

flag{192.168.239.123}

问七:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客的socks5的连接账号、密码是______。(中间使用#号隔开,例如admin#passwd)。

题目思路:

同样是需要查看黑客创建webshell后传输的数据,上一题目我们查找IP地址,解码了Hex值后直接发现其中包含了socks5的账号密码

方法:

直接查看解码后的数据

flag{0HDFt16cLQJ#JTN276Gp}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/636674.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

logstack 日志技术栈-02-ELK 的缺点?loki 更轻量的解决方案?

ELK/EFK日志系统 如果今天谈论到要部署一套日志系统,相信用户首先会想到的就是经典的ELK架构,或者现在被称为Elastic Stack。 Elastic Stack架构为Elasticsearch Logstash Kibana Beats的组合,其中,Beats负责日志的采集&…

多表形成树形结构

多表形成树形结构: package com.js.archive.assistant.domain.vo;import com.js.core.domain.vo.BaseVO; import io.swagger.annotations.ApiModel; import io.swagger.annotations.ApiModelProperty; import lombok.Data; import lombok.EqualsAndHashCode;import…

mysql中建立一个用户,只能看到某个指定的数据库

MySQL用户管理及权限控制 在MySQL数据库中,用户管理和权限控制是非常重要的功能。通过正确地设置用户和权限,可以保护数据库的安全性,防止未授权的访问和数据泄露。本文将介绍如何在MySQL中创建一个用户,并限制该用户只能访问特定…

假设检验:以样本服从二项分布举例

目录 假设检验一、假设检验的思想二、假设检验的基本步骤1. 确定要进行检验的假设2. 选择检验统计量3. 确定用于做决策的拒绝域4. 求出检验统计量的值5. 查看样本结果是否位于拒绝域内6. 做出决策 三、举例说明例子1——某公司治疗打鼾例子2——女士品茶的故事 假设检验 一、假…

用Photoshop来制作GIF动画

录了个GIF格式的录屏文件,领导让再剪辑下,于是用Photoshop2023(PS版本低至CS6操作方式一样)进行剪辑,录屏文件有约1400帧,由于我处理的帧数太多,PS保存为GIF格式时,还是挺耗时的&…

【Docker】网络配置及自定义网络的使用

一、引言 1、什么是网络配置 Docker的网络配置主要是指Docker容器与外部网络之间的连接设置,包括容器内部的IP地址、端口号等。Docker提供了多种网络模式,包括bridge、host、none等,以满足不同的需求。 默认情况下,Docker使用brid…

用Python替代Mapinfo更快查找两张表中距离最近的点

目录 一、引言 二、准备工作 三、数据准备 四、计算距离 五、筛选最近点 六、完整代码示例 七、性能优化 八、总结 一、引言 在地理信息系统(GIS)中,经常需要查找两张表中距离最近的点。传统的做法是使用Mapinfo软件,但这…

探索世界,从一款好用的浏览器开始!

好用的浏览器分享 在这个数字化的时代,浏览器已经成为了我们生活中不可或缺的工具。从浏览新闻、社交媒体到工作学习,我们几乎无时无刻不在与浏览器打交道。那么,如何选择一款好用的浏览器呢?今天,我就来为大家分享几…

C++函数指针

目录 背景定义 实例运行结果 背景 定义 函数指针是一个指向函数的指针变量&#xff0c;它可以指向某个函数的入口地址&#xff0c;使得程序可以通过该指针变量调用该函数。 实例 #include <iostream> using namespace std;/*** 函数指针 */// 定义一个函数 int add(i…

SAP ABAP 指针

SAP ABAP 指针 目录 一、FIELD SYMBOL 字段符号 1、定义2、assign分配3.分配-内表4.动态内表 二、数据引用 一、FIELD SYMBOL 字段符号 定义&#xff1a;是已经存在的数据对象的占位符或者符号名称&#xff0c;通过关键字 FIELD-SYMBOLS 定义&#xff0c;类似于指针&#x…

systemverilog/verilog文件操作

1、Verilog文件操作 Verilog具有系统任务和功能,可以打开文件、将值输出到文件、从文件中读取值并加载到其他变量和关闭文件。 1.1 、Verilog文件操作 1.1.1、打开和关闭文件 module tb; // 声明一个变量存储 file handler integer fd; initial begin // 以写权限打开一个文…

机器学习实战15-推荐算法-协同过滤在电影推荐中的应用实践

大家好&#xff0c;我是微学AI&#xff0c;今天给大家介绍一下机器学习实战15-推荐算法-协同过滤在电影推荐中的应用实践。 随着互联网的发展&#xff0c;信息过载问题日益严重&#xff0c;推荐系统应运而生。本文将详细介绍推荐算法在电影推荐领域的应用实践&#xff0c;以及其…

【Python】--- 基础语法(1)

目录 1.变量和表达式2.变量和类型2.1变量是什么2.2变量的语法2.3变量的类型2.3.1整数2.3.2浮点数&#xff08;小数&#xff09;2.3.3字符串2.3.4布尔2.3.5其他 2.4为什么要有这么多类型2.5动态类型特征 3.注释3.1注释的语法3.2注释的规范 结语 1.变量和表达式 对python的学习就…

muduo网络库剖析——通道Channel类

muduo网络库剖析——通道Channel类 前情从muduo到my_muduo 概要事件种类channel 框架与细节成员函数细节实现使用方法 源码结尾 前情 从muduo到my_muduo 作为一个宏大的、功能健全的muduo库&#xff0c;考虑的肯定是众多情况是否可以高效满足&#xff1b;而作为学习者&#x…

树莓派报错gpio: command not found(未找到命令)

使用gpio的时候出现报错 gpio: command not found 解决方法&#xff1a; wget https://project-downloads.drogon.net/wiringpi-latest.deb 过 wget 工具下载一个名为 "wiringpi-latest.deb" 的 Debian 软件包。这个软件包是 WiringPi 库的安装包&#xff0c;Wir…

好用的Redisson

好用的Redisson 文章目录 好用的Redisson介绍如何安装 Redisson如何编译运行 Redisson使用 RList 操作 Redis 列表示例 使用 RMap 操作 Redis 哈希示例 使用 RLock 实现 Redis 分布式锁示例 使用 RAtomicLong 实现 Redis 原子操作示例 **获取分布式队列**&#xff1a;RedissonC…

多线程-Thread类及常见方法

目录 1.什么是Thread类 1.1Thread 的常⻅构造⽅法 1.2 Thread 的⼏个常⻅属性 2.启动⼀个线程 - start() 经典面试题&#xff1a;start 和run 区别 3.中断⼀个线程 方法一&#xff1a; 方法二: 4.等待⼀个线程 - join() 1.什么是Thread类 Thread类是Java编程语言中的一个重…

图像去噪——CTNet网络推理测试(详细图文教程)

目录 一、CTNet二、源码包准备2.1 测试集2.2 模型权重 三、环境准备四、推理测试4.1 配置参数修改4.2 官网测试4.2.1 测试当通道图像4.2.1.1 命令方式测试4.2.1.2 Configuration配置测试4.2.1.3 测试结果 4.2.2 测试彩色图像4.2.2.1 命令方式测试4.2.2.2 Configuration配置测试…

性能优化-HVX架构简介

来自 「发表于知乎专栏《移动端算法优化》」 本文主要介绍Hexagon DSP的HVX技术&#xff0c;旨在通过简单的语言讲清HVX技术。 &#x1f3ac;个人简介&#xff1a;一个全栈工程师的升级之路&#xff01; &#x1f4cb;个人专栏&#xff1a;高性能&#xff08;HPC&#xff09;开…

Hive添加第三方Jar包方式总结

一、在 Hive Shell中加入—add jar hdfs dfs -put HelloUDF-1.0.jar /tmp beeline -u "jdbc:hive2://test.bigdata.com:10000" -n "song" -p "" add jar hdfs:///tmp/HelloUDF-1.0.jar; create function HelloUDF as org.example.HelloUDF USIN…