例题:陇剑杯2021 webshell 7问

问1

  • 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
    黑客登录系统使用的密码是_____________。

在wireshake打开流量包,搜索*http contains “password”*找到密码。

问2

  • 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
    黑客修改了一个日志文件,文件的绝对路径为_____________。(请确认绝对路径后再提交)

搜索http contains “log” && http.request.method == POST,找到日志文件的绝对路径。

上面一段和下面一段需要拼接(第一段的data和第二段的1.php是同级)

问3

  • 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
    黑客获取webshell之后,权限是______?

搜索whoami,发现317-319有回显


在319中找到flag

问4

  • 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
    黑客写入的webshell文件名是_____________。(请提交带有文件后缀的文件名,例如x.txt)

在不远处就看到了1.php

问5

  • 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
    黑客上传的代理工具客户端名字是_____________。

在最末一行找到上传工具。
image.png

*问6

  • 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
    黑客代理工具的回连服务端IP是_____________。
    因为是回连端,所以和前面的1.php肯定有关系,所以直接搜索http contains “1.php”

    在343中有较短的一段回应,拿去解密。

*问7

  • 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
    黑客的socks5的连接账号、密码是______。(中间使用#号隔开,例如admin#passwd)。
    没错,还是这张图。图中已经给出了plugin_userplugin_passwd,直接写就行。

陇剑杯2021 jwt

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
POST /identity HTTP/1.1
Host: 192.168.2.197:8081
Connection: keep-alive
Content-Length: 29
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://192.168.2.197:8081
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.107 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.168.2.197:8081/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=3f8coeg6hm9vf0h5lcoifmk8o5

username=admin&identity=admin


HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Set-Cookie: token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTAwODYsIk1hcENsYWltcyI6eyJhdWQiOiJhZG1pbiIsInVzZXJuYW1lIjoiYWRtaW4ifX0.dJArtwXjas3_Cg9a3tr8COXF7DRsuX8UjmbC1nKf8fc; Path=/; Max-Age=3600; HttpOnly
Date: Sat, 07 Aug 2021 05:09:16 GMT
Content-Length: 225

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<script language="javascript" type="text/javascript">
    
  window.location.href="\/exec";

</script>
</body>
</html>

其中的token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTAwODYsIk1hcENsYWltcyI6eyJhdWQiOiJhZG1pbiIsInVzZXJuYW1lIjoiYWRtaW4ifX0.dJArtwXjas3_Cg9a3tr8COXF7DRsuX8UjmbC1nKf8fc; 三段式token即为jwt。