日志分析题目

 关卡描述:1、黑客在内网抓了两台肉鸡对服务器进行攻击,请给出两台肉鸡的IP(使用空格分隔)

直接查看日志

rh

然后ls,查看日志分析题目_第1张图片

这里我没有看到明显web容器的字样,例如apache,iis的等等。

就看容器的http

查看到access-log-20231007的里面,有很多日志,我看太久,看不出来啥,拿下肉机就是一个shell,要不上传要不写入,上传的特征比较明显,就greo “POST” 文件名字 -n

日志分析题目_第2张图片

可不要太不要脸,一句话木马直接贴脸开大,第一个肉机ip

然后再去看他存放浏览器的地方

/var/www/httpd

里面还有一个日志,在这里就看到了黑客通过shell执行的命令

日志分析题目_第3张图片

bash反弹shell,两个肉机都已经找到。

关卡描述:2、黑客使用的webshell的完整网址是什么(后50个字符)

这个就去看他使用webshell1的日志访问的网址1

日志分析题目_第4张图片

从后往前数个五十位。

关卡描述:3、黑客成功登陆后台所使用的验证码是什么

这个就是日志慢慢看,日志分析题目_第5张图片

就是这个

7、黑客通过哪个文件拿到的root权限(绝对路径)

查看历史日志

less ~/.bash_history

查看了个passwd的权限

这里应该是黑客发现了可写权限,

黑客自己整了个可写权限,用vim编译器进行修改

应该就是这里拿下root权限

这里还复制了给passwd

这里bak是备份文件,打开这个文件看发现哈希值日志分析题目_第6张图片

写入给了root,就是通过这个获取的root权限。

8黑客拿到root所权限使用的密码哈希的前10位是什么

上图就有

10、黑客在服务器中留下了其他webshell,写出其余webshell的文件名称(空格分隔)

日志分析题目_第7张图片

11、黑客添加的账号及密码哈希是什么(格式:账号:密码哈希前10位)

日志分析题目_第8张图片

12、黑客留下的提权后门文件的绝对路径

你可能感兴趣的:(网络)