挑战内容
前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。
这是他的服务器系统,请你找出以下内容,并作为通关条件:
2.攻击者的webshell文件名?
3.攻击者的webshell密码?
4.攻击者的伪QQ号?
6.攻击者的服务器端口?
7.攻击者是如何入侵的(选择题)?
8.攻击者的隐藏用户名?
步骤
1.攻击者的IP地址(两个)?
这个是查找攻击者ip的一般就是从日志中看。
这个日志不多直接看了下,这个ip十分可以访问此时十分不正常
补:大致完成了一次后,发现自己居然指导找到了一个ip。没有发现其他的,这里几个日志也大致看了没有发现其他的异常。又去看看了题解发现了,是查看用户登录的ip找到另外一个的。利用筛查
2.攻击者的webshell文件名?
我们其实可以通过这个日志也可看出来,post了一个system很可疑,后面用d盾找了一下,确定就是这个了
3.攻击者的webshell密码?
这次利用d盾这边打开,成功的看到了内容。这里的密码应该就是hack6618
4.攻击者的伪QQ号?
这个攻击者的伪qq号。怀疑上传了恶意软件。先检查用户看看
5.攻击者的伪服务器IP地址?
发现了frp。查看配置文件
6.攻击者的服务器端口?
这里应该就是65536
7.攻击者是如何入侵的(选择题)?
这里就要找到webshell如何传上来的,apache里面没有这个,只有看看其他的日志。最后在ftp日志中看到了。stor是上传成功的意思
8.攻击者的隐藏用户名?
这个在前面已经找到了hack887$
总结
