扫码领资料
获网安教程
网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
| 序号 | 任务内容 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1、请提交攻击者的IP地址
flag{192.168.31.132}
不难看出,攻击者一直编辑tomcat
cd /root history##查看root用户的历史命令
我们从时间来看,就可以判断出2023的时间是黑客操作的
192.168.31.132就是黑客的IP地址
2、请提交攻击者使用的操作系统
flag{Windows NT 10.0}
3、请提交攻击者进入网站后台的密码
flag{P@ssw0rd!}
4、请提交攻击者首次攻击成功的时间,格式:DD/MM/YY:hh:mm:ss
flag{2023-05-09 05:02:16}
在这个日志文件中可以看到POST攻击
2023-05-09 05:02:16这个是POST攻击的时间
[root logs]# find /-name 'Juneha.jsp'/opt/tomcat/webapps/ROOT/userImg/Juneha.jsp[root logs]# stat /opt/tomcat/webapps/ROOT/userImg/Juneha.jspFile: ‘/opt/tomcat/webapps/ROOT/userImg/Juneha.jsp’Size: 2617Blocks: 8IOBlock: 4096 regular fileDevice: fd00h/64768d Inode: 34078138 Links: 1Access: (0640/-rw-r-----) Uid: ( 0/ root) Gid: ( 0/ root)Context: system_u:object_r:usr_t:s0Access: 2024-01-0408:48:32.632752044-0500Modify: 2023-05-0905:02:16.995664282-0400Change: 2023-05-0905:02:16.995664282-0400Birth: -
5、请提交攻击者上传的恶意文件名(含路径)
flag{/opt/tomcat/webapps/ROOT/teacher/cmd.jsp}
[root logs]# grep -rl "exec("/opt/tomcat//opt/tomcat/webapps/docs/security-manager-howto.html/opt/tomcat/webapps/ROOT/resources/js/jquery-1.10.2.js/opt/tomcat/webapps/ROOT/resources/js/jquery-3.2.1.min.js/opt/tomcat/webapps/ROOT/resources/js/jquery-ui-1.10.4.custom.min.js/opt/tomcat/webapps/ROOT/teacher/cmd.jsp
找到一个cmd.jsp,比较可疑
6、请提交攻击者写入的恶意后门文件的连接密码
flag{023}
发现,这个是个木马文件
密码就是023
7、请提交攻击者创建的用户账户名称
flag{Juneha]
从history历史命令中查看,
/home(家目录)中,也有这个用户
最后作者希望看文章的师傅们都可以比赛有个好的结果,比赛嘎嘎拿分,嘎嘎上榜!!!(声明一下,这篇稿子不是24职业技能大赛的解题过程)
内部圈子介绍
圈子专注于更新src相关:
1、维护更新src专项漏洞知识库,包含原理、挖掘技巧、实战案例2、分享src优质视频课程3、分享src挖掘技巧tips4、微信小群一起挖洞5、不定期有众测、渗透测试项目6、需要职业技能大赛环境+解析的dd(拒绝×白嫖)
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(神农Sec):【全国职业技能大赛“信息安全与评估”赛项】任务二-国赛Linux应急响应
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论