题目描述
1.木马的连接密码是多少
2.黑客执行的第一个命令是什么
3.黑客读取了哪个文件的内容,提交文件绝对路径
4.黑客上传了什么文件到服务器,提交文件名
5.黑客上传的文件内容是什么
6.黑客下载了哪个文件,提交文件绝对路径
&1
下载附件,分析http流量包,发现1.php,post请求参数为1
&2
通过对第一个包的返回得知,执行的是id命令
&3
通过对第三个包返回分析,得知是读取了/etc/passwd
&4
对下一个包返回分析,发现flag.txt的时间和其他文件不同,则这是攻击者上传的文件,并且对发包分析,其post中t41ffbc5fb0c04参数对应值解密就是路径,这里加密方式是去掉前两个字符然后解密base64
&5
再分析另一个post参数的值,是hex,我们解码得到flag
&6
分析最后一个包,显而易见是config.php
