世界技能大赛样题——安全事件响应

服务器使用的cms是？版本是？

wordpress+版本号

MySQL root用户密码是？

无

发现phpmyadmin，phpmyadmin可以登陆mysql

直接过滤phpmyadmin和post包，发现大量爆破痕迹

直接看下面，长度对比，1607可能就是成功登陆的数据包，对应的密码也应该是正确密码

功击者写入的第一个文件文件名为？

接着往下看，应该是这个

禁用了那些函数？

继续往下，1903包出现phpinfo，phpinfo中会列出禁用的函数

重新过滤，出现三个包，第一个为phpmyadmin写phpinfo，第二个为请求import.php，跟我们前面创建的文件名不对应，第三个包就说phpinfo

导出为html，使用浏览器打开

Web攻击失败后利用了什么漏洞？

web攻击应该指http协议的攻击行为，查看统计，没有udp协议，全是tcp协议

发现大量疑似端口扫描的tcp连接

往下翻找到了smb流量

疑似smb登陆行为

往下看发现大量十六进制数据，系统是win7，smb，诸多信息结合让我想到了ms17010

执行的第一条命令是什么 ？

先做下面计算机名那道题

计算机名是什么？

匹配跟win7相关的数据包，找到一些十六进制数据

发现hack先执行了dir，然后执行了systeminfo

最后还下载了一张图片

获取的flag是多少？

过滤

查看第二次执行的命令

下载的文件中的flag是什么？

指的png吧，保存该图片

十六进制打开，在结尾有串flag

Download：
https://download.csdn.net/download/qq_38626043/87570449