应急响应
打开就有很多关卡
Js劫持
刚开始进入了一个二手交易市场,等待一会儿,自动跳转一个url复制它就是flag记住去除后面的斜杠,就可以提交了
黑客首次webs hell
通过find命令查找所有后缀为php的文件,然后看一看有哪些是可疑的
第二种直接我们将网站备份下来用D盾扫描
放到d盾扫描后门
找到了一句话木马
1 | QjsvWsp6L84Vl9dRTTytVyn5xNr1 |
黑客首次攻击
查看日志/var/log/nginx/access.log
看到了首次攻击的时间信息
黑客服务器信息
首先查看进程
ps aux 查看进程发下很多1.sh
然后查看一下,这是脚本?打开看一下
此时发现了IP以及端口
49.232.241.253:8888
黑客的webshell2
在这里一直找,在img文件夹里面发现一个php打开看一下
当然也有用工具的比这个方便
哪个web日志取证工具,链接: 取证
1 | #赋予权限 |
然后进入日志路径查看/var/log/nginx/access.log.db
进去之后一眼就看出来了一个,因此和上面对应住了,在/static/img/1.php路径下面
MySQL
这种方法很慢且笨拙
在路径下找的,就如图路径下找到了,database.php
打开之后就获取了信息了,用户名:root 密码:123456
1 | revoke file on *.* from 'root'@'localhost'; |
到这里就可以了
黑客的账号
这个较为直接
搜索关键词语就行了1
cat /etc/passwd
发现有一个aman的账户,删除掉就行了,当然也可以不用命令,直接vim进去手动删了也是可以的1
Userdel -rf amans
黑客篡改的命令
命令存储在/bin目录下我们进入该目录查看发现了两个奇奇怪怪的命令
发现相似的
修改js劫持
进入到/var/www/html文件下,查找js文件。我是抠出来的,很慢很慢。当然这个命令只是快速做题的一种方法,我也是参考了大佬的文章。因为我是一个菜只因。
删除js文件中的恶意代码,就ok了