[陇剑杯 2021]webshell writeup
问1
题目描述:
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:**黑客登录系统使用的密码是_。**得到的flag请使用NSSCTF{}格式提交。
一般来说,登录系统都有以下特征:
- 登录成功状态码为200
- 用post方式登录
- 一般登录页面是login
通过以上来进行过滤跟踪,可以发现登录成功的post
再进行url解码
flag:NSSCTF{admin123!@#}
问2
题目描述:
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:黑客修改了一个日志文件,文件的绝对路径为_____________。(请确认绝对路径后再提交)。得到的flag请使用NSSCTF{}格式提交。
一般日志文件是后缀.log的文件,过滤.log
发现路径data/Runtime/Logs/21_08_07.log,但是这个还不是绝对路径,再进行寻找
flag:NSSCTF{/var/www/html1/1.php/data/Runtime/Logs/21_08_07.log}
问3
题目描述:
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:**黑客获取webshell之后,权限是__?**得到的flag请使用NSSCTF{}格式提交。
黑客获取webshell后,大概率会用id或whoani来查看权限
所以我们可以通过过滤包含whoami字样的流量包来查找
1 | http contains "whoami" |
两个流量包都post了whoami指令
但是追踪第一个流量包发现状态码是404,无效
再对第二个流量包追踪发现状态码为200,在下方还可以发现一个www-data,这是一个比较常见的PHP网站权限名
flag:NSSCTF{www-data}
问4
题目描述:
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:黑客写入的webshell文件名是_____________。(请提交带有文件后缀的文件名,例如x.txt)。得到的flag请使用NSSCTF{}格式提交。
一般写入文件应该是用POST方法,所以http.request.method=="POST"过滤流量
发现后面全是1.php,追踪最后一个index.php,发现上传的的确是1.php
flag:NSSCTF{1.php}
问5
题目描述:
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:黑客上传的代理工具客户端名字是_____________。(如有字母请全部使用小写)。得到的flag请使用NSSCTF{}格式提交。
我们可以由上一题发现可以发现写入木马的内容
直接搜aaa,追踪后发现有frpc.ini,frp是一款用于内网穿透的高性能反向代理应用,frps是服务端,frpc是客户端。
flag:NSSCTF{frpc}
问6
题目描述:
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:**黑客代理工具的回连服务端IP是_____________。**得到的flag请使用NSSCTF{}格式提交。
在前面的题目中,我们已经发现服务器被webshell入侵的痕迹,具体表现为用POST请求上传了一个1.php脚本,并且发现存在 frpc 或类似内网穿透工具的二进制文件上传。
过滤器:http contains "1.php"
逐一追踪http
发现长度适合的可疑的16进制数据
flag:NSSCTF{192.168.239.123}
问7
题目描述:
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:黑客的socks5的连接账号、密码是________。(中间使用#号隔开,例如admin#passwd)。得到的flag请使用NSSCTF{}格式提交。
答案就在上一题那里
flag:NSSCTF{0HDFt16cLQJ#JTN276Gp}
