攻击者使用的端口扫描工具是?
NMAP
通过流量及日志审计,攻击者上传shell的时访问web使用IP地址是多少?
192.168.150.1
但是他.1和.2都传了,不懂。
审计流量日志,攻击者反弹shell的地址及端口?
192.167.150.2:4444
攻击者使用的提权方式及工具是什么?
4000,一眼SUID。
这逼一开始用了这个发现不行
然后用的这个,为什么呢。
因为这b习惯了吧可能。
然后他nc去了8888。
用tcp.port==8888继续找吧。
至于工具是什么我不知道,你硬要问。
这么一大堆爆破的东西我觉得是Burp。
攻击者创建的新用户名是?
securityy ---------xlz888999
攻击者将shell删除并放到了其他web目录,文件名被改变了,找出他的绝对路径及文件名
/var/www/blog/.ShEllHAha/.hackba.php
攻击者使用新用户留下了木马进行不法行为,找出程序名,给出程序的绝对路径
/var/backups/opt/.Qwert/.Wakuang.sh
后面还设了定时任务。