misc刷题记录2[陇剑杯 2021]

[陇剑杯 2021]webshell

(1)单位网站被黑客挂马，请您从流量中分析出webshell，进行回答：
黑客登录系统使用的密码是_____________。得到的flag请使用NSSCTF{}格式提交。

这里我的思路是，既然要选择的时间段是黑客登录网站以后，那么也就是说，当黑客第一次登陆成功时的密码就是题目所求，这里直接检索关键信息是不太可能，所以选择筛选login，或者password

 检索password

在第二个包里面查找password

成功找到了密码，这里%40和%23分别是@和#

在 HTML Form URL Encoded: application/x-www-form-urlencoded里可见未编码内容

检索login也可见相关内容

所以答案为: Admin123!@#

(2)单位网站被黑客挂马，请您从流量中分析出webshell，进行回答：
黑客修改了一个日志文件，文件的绝对路径为_____________。（请确认绝对路径后再提交）。得到的flag请使用NSSCTF{}格式提交。

这里给了提示，是日志文件，所以这里先选择筛选.log文件

由上可知，在登录成功是在101以后 ，所以直接往后面找就可以，定位到了关键信息，但是通过分析可知，这里获得的是相对路径，通过前面对流量包的分析可知，这里使用的系统是linux，那么也就是说，可以猜测前面的内容应该是/var/www/html，但是保险起见，还是筛选一下pwd命令，看看完整路径，这里检测pwd是因为按照做题经验，一般修改以后都会用pwd命令看看是否修改成功

这里通过检索pwd命令 ，发现tcp.stream eq 31中发送pwd命令请求，成功回显200，而且返回的信息中有根目录信息

所以答案为：/var/www/html/data/Runtime/Logs/Home/21_08_07.log

（3）单位网站被黑客挂马，请您从流量中分析出webshell，进行回答：
黑客获取webshell之后，权限是______？得到的flag请使用NSSCTF{}格式提交。

这里要求的是权限，思路是先检索关键字“whoami”，因为这个命令可以查看现在用户的权限状态，

在317号包中有开始请求，在319号包中有响应结果，这里通过在http流中筛选“user”可得到所求信息

或者将这个流，另存为html文件，在浏览器中打开也可见信息

所以答案为：www-data

（4）黑客写入的webshell文件名是_____________

这里根据题干信息可知，文件是被写入的，那么也就是说这个文件一开始是不存在于流量中的，而一般的文件上传方式就是POST传参，所以这里的思路是先筛选以POST传参的方式传入的流量

从流量337以后可以看出来有明显的断层变化，也可以看出后面的流量都与1.php有关系，所以这里猜测这个写入的文件就是1.php，然后这里还是选择细看流量

 在tcp.stream eq 33中,可以发现执行了shell命令，通过base64编码来绕过，解码可得，文件内容

解码以后可以发现，传入了一个一句话木马，那么这里基本就可以确定可疑文件就是1.php

所以答案为：1.php

（5）黑客上传的代理工具客户端名字是_____________。

        这里有三种思路，一种是继续分析黑客对1.php进行操作的流量包，继而得到代理客户端的相关信息，第二种是，直接筛选与1.php文件相关的流量来进行分析，第三种是，由第四题解出的木马内容可知，传入的可控参数是aaa，那么直接筛选与aaa有关的流量，通过对什么时候传入参数的分析来判断代理客户端的名字

        这里第一二种的思路都差不多，先演示第一二种

通过对含“1.php”的流量进行分析后，可以发现流345比流341多了一个frpc.ini文件

第三种思路 也可以在流346中找到目标文件

所以答案为：frpc.

(6)单位网站被黑客挂马，请您从流量中分析出webshell，进行回答：
黑客代理工具的回连服务端IP是_____________。

这里的思路应该有一种是去找server_addr，但是很明显，筛不出来

在对前一题对1.php文件的分析中，发现很多地方都有一段相同的hex值

解码

因为前面连接的时候其实就应该有代理，所以没有急着往后面翻

就可以找到代理的IP：192.168.239.123

所以答案为：192.168.239.123

(7)单位网站被黑客挂马，请您从流量中分析出webshell，进行回答：
黑客的socks5的连接账号、密码是______。

这个在上一级捕获的那段hex值中，也可以获得

所以答案为：0HDFt16cLQJ#JTN276Gp

知识点：

pwd

Linux中，pwd命令用于显示当前工作目录的路径。具体作用如下：

1. 显示当前工作目录路径：pwd命令会打印出当前正在工作的目录的绝对路径。这对于确认当前所在位置以及在命令行中导航至特定目录非常有用。

2. 路径信息确认：有时在使用绝对路径或相对路径时，需要确认当前目录的确切路径，pwd命令可以提供这一信息。

3. 脚本编程中的路径获取：在编写Shell脚本或其他自动化任务时，经常需要获取当前工作目录的路径，pwd命令可以帮助脚本获取这一信息并进一步处理。

使用方法很简单，在命令行中输入pwd并按下回车键即可

示例：

ini文件

ini是initialization file的缩写，即初始化文件，是widows系统配置文件所采用的存储格式。

ini配置文件的后缀名也不一定必须是.ini, 也可以是.cfg, .conf或者是.txt

ini配置文件_ini文件-CSDN博客

ls查看当前目录，ls / 查看根目录 ，ls ../ 查看上一级目录