山东省赛二阶段第一部分解题思路

提交攻击者的IP地址      192.168.1.7

这个直接awk过滤一下ip次数，这个ip多得离谱，在日志里面也发现了它的恶意行为，后门，反弹shell

识别攻击者使用的操作系统     Linux

找出攻击者资产收集所使用的平台   shodan

提交攻击者目录扫描所使用的工具名称    DIRSEARCH

提交攻击者首次攻击成功的时间，格式：DD /MM/YY:HH:MM:SS 2022:15:17:54

我认为的

找到攻击者写入的恶意后门文件，提交文件名（完整路径）和后门密码

/data/avatar/1.php 2022

这个利用的一个phpmyadmin的前端命令执行漏洞，写入了一个shell，

他就把shell写入到这个里面，如何上传一个shell，输出路径为data/avatar/1.php 

这个是因为它在这个网站直接使用/proc/self/cwd/1.php映射到当前工作路径即可，然后就通过了这个文件上传了一个shell上去，所以这个文件里面有恶意代码，

后门密码2022

找到攻击者隐藏在正常web应用代码中的恶意代码，提交该文件名（完整路径）

 proc/self/cwd/1.php

识别系统中存在的恶意程序进程，提交进程名 

prism

这个是因为他日志里面执行了一个反弹shell，之后就要打开虚拟机看了

因为题目问的进程，就查看进程

就他，因为是root用户，就在root下面找

执行的反弹shell