pass1
js劫持
直接打开网页就可以
https://www.194nb.com/(/要去掉)
pass2
黑客首次webshell密码
是用木马远程连接的,所以密码就是Qj......
pass3
黑客首次入侵方式
进入/var/log/nginx文件下的access.log查看日志,
看见了关键词 alert
就可以推定为xss攻击(小写)
pass4
找到黑客留下的后面中黑客服务器的ip以及端口
ps -aux | grep www.data
查看进程
发现一个很奇怪的进程,1.sh,打开所在目录发现ip地址
pass5
找了半天发现在/var/www/html/public/static/img目录下的1.php文件中,其实文件应该都在html文件夹中,在里面找肯定能找得到
模糊查询
find /var/www/html -name “*.php”| xargs grep "flag"
这个只能找到php文件里的flag,如果是txt的只需要把php改成txt即可,但是对于图面马之类的 无效
pass6
先找到mysql的账号和密码
/var/www/html/application在databases.php文件中,我们连接mysql
mysql -u root -p123456
当然命令行界面如果不太好做这个题目的话,也可以用antsword去连接
之前黑客在里面写了一个后门,我们可以直接利用
连上之后查看权限
secure-file-priv参数是用来限制LOAD DATA, SELECT … OUTFILE, and LOAD_FILE()传到哪个指定目录的。
当secure_file_priv的值没有具体值时,表示不对mysqld 的导入|导出做限制
修复方法(linux):
修改my.cnf 在[mysqld]内加入secure_file_priv= null MYSQL新特性secure_file_priv对读写文件的影响 然后重启mysql,再查询secure_file_priv
重启数据库:wq即可
pass7
直接/etc/passwd查看
看了一圈就觉得这个有问题,删了再说,很显然是对的
pass8
命令被篡改了,那我们进入/bin目录下看看,找几个最基础的,ls,cat,pwd,mv,之类的
发现ls有问题,
这是正常的ls
这是有问题的ls
一个是一行很多个文件,不正常的一行只有一个文件,
直接 删除,然后将原来的覆盖在之前的假的之上即可
在把之前的木马删除
rm -rf /var/www/html/public/static/img/1.php 建议用命令删除,我手动删除没删掉,估计没删的彻底
pass9
第二个 命令整了半天没看出头绪,看了一下wp发现是ps,但是ps用着确实没什么问题呀,没搞懂
反正老方法 直接删除覆盖即可
没有问题的命令 你cat的时候会出现一大堆代码,有问题的打开发现
只有几句话
pass10
最后一题网页是被重定向到另外一个网页上了,估计是源码被人篡改了,这一串应该是篡改的详细,但是我没解出来,最后一题也就没做,大概流程就是 找到源码中对应的位置,把这个删除就好了