山东省赛二阶段第一部分解题思路

提交攻击者的IP地址      192.168.1.7

这个直接awk过滤一下ip次数,这个ip多得离谱,在日志里面也发现了它的恶意行为,后门,反弹shell

识别攻击者使用的操作系统     Linux山东省赛二阶段第一部分解题思路_第1张图片
找出攻击者资产收集所使用的平台   shodan

山东省赛二阶段第一部分解题思路_第2张图片

提交攻击者目录扫描所使用的工具名称    DIRSEARCH山东省赛二阶段第一部分解题思路_第3张图片
提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS 2022:15:17:54

我认为的

山东省赛二阶段第一部分解题思路_第4张图片

找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码
/data/avatar/1.php 2022

这个利用的一个phpmyadmin的前端命令执行漏洞,写入了一个shell,山东省赛二阶段第一部分解题思路_第5张图片

他就把shell写入到这个里面,如何上传一个shell,输出路径为data/avatar/1.php 

这个是因为它在这个网站直接使用/proc/self/cwd/1.php映射到当前工作路径即可,然后就通过了这个文件上传了一个shell上去,所以这个文件里面有恶意代码,

后门密码2022

找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)
 proc/self/cwd/1.php
识别系统中存在的恶意程序进程,提交进程名 
prism

这个是因为他日志里面执行了一个反弹shell,之后就要打开虚拟机看了

山东省赛二阶段第一部分解题思路_第6张图片

山东省赛二阶段第一部分解题思路_第7张图片

因为题目问的进程,就查看进程山东省赛二阶段第一部分解题思路_第8张图片

就他,因为是root用户,就在root下面找山东省赛二阶段第一部分解题思路_第9张图片

执行的反弹shell

你可能感兴趣的:(长城网络靶场溯源,网络,服务器,安全)