2023国赛linux的应急响应-wp

由于没有给出linux服务器的用户名和密码，我们先用kali扫一下端口和ip，然后看到有一个ssh开放，我们就通过ssh进行爆破

对137进行爆破

通过账号密码登陆进去，然后开ssh远程，用windows命令连接，因为linux命令行看的东西不能上下移动

2023 年国赛模拟题-linux 应急响应

1 请提交攻击者的 IP 地址 flag{192.168.31.132}

进来之后看history，看历史使用的命令，有一个tomcat，然后我们知道了这里面有web网站并且是tomcat服务 ，我们find一下tomcat的目录

进入第二个，第二个是网站和日志存放的目录

这里面的23年的日志，看一下

看到了一一堆的POST请求，最早的POST请求附近有一个jpeg，判断为有人通过文件上传，上传了图片马，下面的一堆post中的jsp就是webshell，那么攻击者的ip地址就是192.168.31.132

2 请提交攻击者使⽤的操作系统flag{Windows}

黑客使用的操作系统如下

3 请提交攻击者进⼊⽹站后台的密码 flag{P@ssw0rd}

进入网站后台的密码，我们去看一下历史命令，看到了这个mysql -u root -p P@ssw0rd这个应该是网站后台的密码

4 请提交攻击者⾸次攻击成功的时间，格式：DD/MM/YY:hh:mm:ss3 flag{08/May/2023:05:02:16}

看日志，看第一次post成功的时间，可以看到往后操作就是已经通过shell连接了，所以首次攻击成功时间 就是上传这个图片马的时间，就是08/May/2023:05:02:16

5 请提交攻击者上传的恶意⽂件名（含路径）flag{/opt/tomcat/webapps/ROOT/teacher/cmd.jsp} 上传到恶意文件名，我们进入tomcat的网站目录，然后find找

最后判断这个cmd.jsp是有问题的，看起来就是jsp的木马，我们进去目录查看，使用个木马，连接密码是123

6 请提交攻击者写⼊的恶意后⻔⽂件的连接密码flag{023}

7 请提交攻击者创建的⽤户账户名称 flag{Juneha}

这里可以看home或者看历史命令，历史命令中有一个修改用户密码的命令，判断出hack创建的用户账户名称应该是Juneha

8 请提交恶意进程的名称 {/home/Juneha/.t0mcat}

通过ps -aux命令看到了linux的所有进程，看到这个t0mcat比较可疑，而且有一个点，有点代表是运行的脚本还是啥来着，但是这种一般就是恶意进程

然后还可以看一下定时任务，看到了这个的定时任务

9 请提交恶意进程对外连接的 IP 地址flag{114.114.114.114}

这里我是直接查看了或者文件，但是这样比较乱，会出现一堆的乱码，但是好在找到了

还有一种方法是查看网络连接，这里没有找到，应该是没有对外连接成功