Gridea

玄机应急响应靶场练习

题目

1、木马的连接密码是多少

1

2、黑客执行的第一个命令是什么

id

3、黑客读取了哪个文件的内容，提交文件绝对路径

/etc/passwd

4、黑客上传了什么文件到服务器，提交文件名

flag.txt

5、黑客上传的文件内容是什么

flag{write_flag}

6、黑客下载了哪个文件，提交文件绝对路径

/var/www/html/config.php

分析

一个简单的蚁剑流量分析题，首先是蚁剑流量的特征：

• @ini_set("display_errors", "0")
• 多个key=value，并且key为一串小写英文+数字，value为base64
• value删除前两个字符可以解出base64

​

可以看到连接密码就是1，将参数删除前两位解base64即可得到执行的命令

​

读取了/etc/passwd

​

后面解析出执行的命令即可