目录
问(1):
黑客登录系统使用的密码是__Admin123!@#__。
直接搜索password或者pass等,查询密码为Admin123!@#
问(2):
黑客修改了一个日志文件,文件的绝对路径为__/var/www/html/data/Runtime/Logs/Home/21_08_07.log_____。
搜索带有log的文件,然后往下追包,在332处拼接一下:
问(3):
黑客获取webshell之后,权限是__www-data_____。
搜索whoami,在317号包发现whoami,在319号响应包有结果
或者导出HTTP对象,一个个找,在index.php%3fm=home&a=assign_resume_tpl文件中发现了含有phpinfo()页面的东西,将其后缀变更为.html用浏览器打开,然后找到答案
问(4):
黑客写入的webshell文件名是__1.php___。(提交带有文件后缀的文件名,例如x.txt)
上传webshell基本使用POST方法提交,然后再337个包发现1.php经过分析确定为黑客写入的webshell
问(5):
黑客上传的代理工具客户端名字是__frpc__。(如有字母请全部使用小写)
根据上题,1.php就是黑客上传的webshell,继续往下分析1.php可以看到frpc就是代理工具客户端
问(6):
黑客代理工具的回连服务端IP是_192.168.239.123__。
追踪tcp流,在流38中发现一串十六进制代码,这是蚁剑特征的数据流 ,将=号后面的内容进行base16解码,找到答案
问(7):
黑客的socks5的连接账号、密码是_0HDFt16cLQJ#JTN276Gp__。(中间使用#号隔开,例如admin#passwd)
同上题,在解码结束后同时可以看到黑客socks5连接的账号密码