打开就有很多关卡

Js劫持

刚开始进入了一个二手交易市场，等待一会儿，自动跳转一个url复制它就是flag记住去除后面的斜杠，就可以提交了

黑客首次webs hell

通过find命令查找所有后缀为php的文件，然后看一看有哪些是可疑的

第二种直接我们将网站备份下来用D盾扫描

放到d盾扫描后门

找到了一句话木马

1	QjsvWsp6L84Vl9dRTTytVyn5xNr1

查看日志/var/log/nginx/access.log
看到了首次攻击的时间信息

首先查看进程
ps aux 查看进程发下很多1.sh
然后查看一下，这是脚本？打开看一下

此时发现了IP以及端口
49.232.241.253:8888

在这里一直找，在img文件夹里面发现一个php打开看一下

当然也有用工具的比这个方便
哪个web日志取证工具，链接: 取证

#赋予权限
chmod +x LogForensics.pl
#启用分析
./LogForensics.pl -file /var/log/nginx/access.log -websvr nginx

然后进入日志路径查看/var/log/nginx/access.log.db

进去之后一眼就看出来了一个，因此和上面对应住了，在/static/img/1.php路径下面

这种方法很慢且笨拙
在路径下找的，就如图路径下找到了，database.php

打开之后就获取了信息了，用户名：root 密码：123456

1
2
3

revoke file on *.* from 'root'@'localhost';
set global general_log = off;
flush privileges;

到这里就可以了

这个较为直接
搜索关键词语就行了

1	cat /etc/passwd

发现有一个aman的账户，删除掉就行了，当然也可以不用命令，直接vim进去手动删了也是可以的

1	Userdel -rf amans

命令存储在/bin目录下我们进入该目录查看发现了两个奇奇怪怪的命令
发现相似的

进入到/var/www/html文件下，查找js文件。我是抠出来的，很慢很慢。当然这个命令只是快速做题的一种方法，我也是参考了大佬的文章。因为我是一个菜只因。

删除js文件中的恶意代码，就ok了