由于没有给出linux服务器的用户名和密码,我们先用kali扫一下端口和ip,然后看到有一个ssh开放,我们就通过ssh进行爆破
对137进行爆破
通过账号密码登陆进去,然后开ssh远程,用windows命令连接,因为linux命令行看的东西不能上下移动
2023 年国赛模拟题-linux 应急响应
1 请提交攻击者的 IP 地址 flag{192.168.31.132}
进来之后看history,看历史使用的命令,有一个tomcat,然后我们知道了这里面有web网站并且是tomcat服务 ,我们find一下tomcat的目录
进入第二个,第二个是网站和日志存放的目录
这里面的23年的日志,看一下
看到了一一堆的POST请求,最早的POST请求附近有一个jpeg,判断为有人通过文件上传,上传了图片马,下面的一堆post中的jsp就是webshell,那么攻击者的ip地址就是192.168.31.132
2 请提交攻击者使⽤的操作系统flag{Windows}
黑客使用的操作系统如下
3 请提交攻击者进⼊⽹站后台的密码 flag{P@ssw0rd}
进入网站后台的密码,我们去看一下历史命令,看到了这个mysql -u root -p P@ssw0rd这个应该是网站后台的密码
4 请提交攻击者⾸次攻击成功的时间,格式:DD/MM/YY:hh:mm:ss3 flag{08/May/2023:05:02:16}
看日志,看第一次post成功的时间,可以看到往后操作就是已经通过shell连接了,所以首次攻击成功时间 就是上传这个图片马的时间,就是08/May/2023:05:02:16
5 请提交攻击者上传的恶意⽂件名(含路径)flag{/opt/tomcat/webapps/ROOT/teacher/cmd.jsp} 上传到恶意文件名,我们进入tomcat的网站目录,然后find找
最后判断这个cmd.jsp是有问题的,看起来就是jsp的木马,我们进去目录查看,使用个木马,连接密码是123
6 请提交攻击者写⼊的恶意后⻔⽂件的连接密码flag{023}
7 请提交攻击者创建的⽤户账户名称 flag{Juneha}
这里可以看home或者看历史命令,历史命令中有一个修改用户密码的命令,判断出hack创建的用户账户名称应该是Juneha
8 请提交恶意进程的名称 {/home/Juneha/.t0mcat}
通过ps -aux命令看到了linux的所有进程,看到这个t0mcat比较可疑,而且有一个点,有点代表是运行的脚本还是啥来着,但是这种一般就是恶意进程
然后还可以看一下定时任务,看到了这个的定时任务
9 请提交恶意进程对外连接的 IP 地址flag{114.114.114.114}
这里我是直接查看了或者文件,但是这样比较乱,会出现一堆的乱码,但是好在找到了
还有一种方法是查看网络连接,这里没有找到,应该是没有对外连接成功
