1.webshell(单位网站被黑客挂马,请您从流量中分析出webshell,进行回答)–黑客登录系统使用的密码是
通过得到的是hack.pcap流量包,放到wireshark中通过字符串搜索得到,password为Admin123!@#
2.日志分析分析–攻击流量,黑客往/tmp目录写入一个文件,文件名为
首先用notepad++打开,首先ctr+a全选安装下图1,2,3将url解码。
在搜索栏中搜索tmp得到下面结果:sess_car
3.简单日志分析–黑客查看的秘密文件的绝对路径是
用notepad++打开,首先ctr+a全选安装下图1,2,3将url解码。
通过对日志分析只有user参数有区别,参数并且是base64编码,于是解码,按照1,2,3:
解码出来看到文件路径:/Th4s_IS_VERY_Import_Fi1e