例题:陇剑杯2021 webshell 7问

问1

  • 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
    黑客登录系统使用的密码是_____________。

在wireshake打开流量包,搜索*http contains “password”*找到密码。

问2

  • 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
    黑客修改了一个日志文件,文件的绝对路径为_____________。(请确认绝对路径后再提交)

搜索http contains “log” && http.request.method == POST,找到日志文件的绝对路径。

上面一段和下面一段需要拼接(第一段的data和第二段的1.php是同级)

问3

  • 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
    黑客获取webshell之后,权限是______?

搜索whoami,发现317-319有回显


在319中找到flag

问4

  • 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
    黑客写入的webshell文件名是_____________。(请提交带有文件后缀的文件名,例如x.txt)

在不远处就看到了1.php

问5

  • 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
    黑客上传的代理工具客户端名字是_____________。

在最末一行找到上传工具。
image.png

*问6

  • 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
    黑客代理工具的回连服务端IP是_____________。
    因为是回连端,所以和前面的1.php肯定有关系,所以直接搜索http contains “1.php”

    在343中有较短的一段回应,拿去解密。

*问7

  • 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
    黑客的socks5的连接账号、密码是______。(中间使用#号隔开,例如admin#passwd)。
    没错,还是这张图。图中已经给出了plugin_userplugin_passwd,直接写就行。