NSSCTF[陇剑杯 2021]webshell

目录

问（1）：

问（2）：

问（3）：

问（4）：

问（5）：

问（6）：

问（7）：

---

问（1）：

黑客登录系统使用的密码是__Admin123!@#__。

直接搜索password或者pass等，查询密码为Admin123!@#

问（2）：

黑客修改了一个日志文件，文件的绝对路径为__/var/www/html/data/Runtime/Logs/Home/21_08_07.log_____。

搜索带有log的文件，然后往下追包，在332处拼接一下：

 

问（3）：

黑客获取webshell之后，权限是__www-data_____。

搜索whoami，在317号包发现whoami，在319号响应包有结果

或者导出HTTP对象，一个个找，在index.php%3fm=home&a=assign_resume_tpl文件中发现了含有phpinfo()页面的东西，将其后缀变更为.html用浏览器打开，然后找到答案

 

问（4）：

黑客写入的webshell文件名是__1.php___。（提交带有文件后缀的文件名，例如x.txt）

上传webshell基本使用POST方法提交，然后再337个包发现1.php经过分析确定为黑客写入的webshell

问（5）：

黑客上传的代理工具客户端名字是__frpc__。(如有字母请全部使用小写)

根据上题，1.php就是黑客上传的webshell，继续往下分析1.php可以看到frpc就是代理工具客户端 

问（6）：

黑客代理工具的回连服务端IP是_192.168.239.123__。

追踪tcp流，在流38中发现一串十六进制代码，这是蚁剑特征的数据流 ，将=号后面的内容进行base16解码，找到答案

问（7）：

黑客的socks5的连接账号、密码是_0HDFt16cLQJ#JTN276Gp__。（中间使用#号隔开，例如admin#passwd）

同上题，在解码结束后同时可以看到黑客socks5连接的账号密码