序号 | 任务内容 |
---|
1 | 请提交攻击者的 IP 地址 |
2 | 请提交攻击者使⽤的操作系统 |
3 | 请提交攻击者进⼊⽹站后台的密码 |
4 | 请提交攻击者⾸次攻击成功的时间,格式:DD/MM/YY:hh:mm:ss |
5 | 请提交攻击者上传的恶意⽂件名(含路径) |
6 | 请提交攻击者写⼊的恶意后⻔⽂件的连接密码 |
7 | 请提交攻击者创建的⽤户账户名称 |
8 | 请提交恶意进程的名称 |
9 | 请提交恶意进程对外连接的 IP 地址 |
1,请提交攻击者的 IP 地址
首先查.hash_history文件,
发现中间件是tomcat,那就查tomcat的日志文件,使用find文件找到tomcat位置
仔细观察Juneha.jpeg从图片变成了jsp文件,且状态码为200,说明上传成功
恶意IP地址:192.168.31.132
2,请提交攻击者使⽤的操作系统
Windows NT 10.0
3,请提交攻击者进⼊⽹站后台的密码
查看.bash_history文件
4,请提交攻击者⾸次攻击成功的时间,格式:DD/MM/YY:hh:mm:ss
首次攻击成功,是上传成功POST文件的时间,使用stat,得出文件详细信息
5,请提交攻击者上传的恶意⽂件名(含路径)
上传恶意文件,肯定上传到/opt/tomcat,这个目录下。
grep -rl "exec(" /opt/tomcat/ 是在/opt/tomcat这个目录下,递归查询文件中存在"exec("
字样的文件,只输出文件名
/opt/tomcat/webapps/ROOT/teacher/cmd.jsp
6,请提交攻击者写⼊的恶意后⻔⽂件的连接密码
cat /opt/tomcat/webapps/ROOT/teacher/cmd.jsp
7,请提交攻击者创建的⽤户账户名称
在.bash_history文件中搜索passwd
passwd user 是创建user用户
8,请提交恶意进程的名称
在Juneha用户目录下发现隐藏文件.t0mcat
9,请提交恶意进程对外连接的 IP 地址
strings .t0mcat | grep [0-9]
netstat -anp | grep .t0mcat
🍬 博主介绍
👨🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~
✨主攻领域:【渗透领域】【应急响应】 【edusrc漏洞挖掘】 【VulnHub靶场复现】【面试分析】
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🍬 博主资源
🎉需要如下资料和培训的可加微信和知识星球(前50名为邀请嘉宾) 知识星球号:9081196🎉
1、全国职业技能大赛——信息安全管理与评估WP+环境
2、全国职业技能大赛——司法技术赛项WP+环境
3、CTF最新资料+相关工具(圈子交流)
4、SRC漏洞挖掘的大量原创报告