1.提交攻击者IP地址
访问⽇志⽂件:cd /var/log/apache2
查看⽇志⽂件并且分析:cat access.log.1
发现192.168.1.7 存在⽬录爆破
2.识别攻击者使用的操作系统
查看ua头能发现是Linux系统
3.找出攻击者资产收集所使用的平台
已经知道⿊客ip为192.168.1.7 查找来源能看到通过shodan
cat access.log.1|grep 192.168.1.7 |grep "https://"
4.提交攻击者扫描目录所使用的工具名称
上面爆破目录得知是dirsearch
5.提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS
分析爆破⽬录前与爆破⽬录后的⽇志
最后发现爆破后进⾏了⽂件上传,并且执⾏了命令执⾏
将上传的时间作为flag
24/Apr/2022:15:25:53
6.找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码。
通过上一题的日志或者搜索system等就能得到路径
/var/www/html/data/avatar/1.php passwd:2022
7.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)。
在web目录搜索eval即可找到 /var/www/html/footer.php
8.识别系统中存在的恶意程序进程,提交进程名。
ps -ef查看到prism进程,840
进程名
ps -p 840 -o comm=
9.找到文件系统中的恶意程序文件并提交文件名(完整路径)。
查看计划任务
/root/.mal/prism
原文始发于微信公众号(暗魂攻防实验室):【ANHUNSEC::CTF】linux应急响应-Writeup
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论