企业官网建设流程全解析

WAP&APT的题是偏日志分析和研判的。需要对攻击流量有一定了解。

第六题 WAF&APT-06

攻击者通过Webshel执行第一个echo命令的输出结果。提交echo的字符串内容

通过webshll执⾏命令，⾸先要连接webshell，根据蚁剑的特点命令执⾏会在后⾯base64编码的字符串中，并且会在前两位添加字符。我们找到连接webshell后的告警。

解码后，输⼊a3bba6b7a278字符发现是不对的。

找到另⼀个 %3D改为= base64解码。

故flag为mirage_get_shell_is_so_cool

第七题 WAF&APT-07

攻击者通过Webshell执行了反弹shell的操作，提交反弹攻击者服务器的IP和端口,例如:1.1.1.1:1111

找到反弹shell的告警。故flag为192.168.192.39:4488

第八题 WAF&APT-08

攻击者向攻击者服务器下载了恶意的后门，提交下载攻击者服务器的IP和端口例如:1.1.1.1:1111

我们找到告警。看请求体故flag为192.168.192.39:8888

第九题 WAF&APT-09

攻击者创建了一个恶意用户，该恶意用户的名称是?提交用户字符串

创建恶意用户，需要上机排查lastlog看一下，可以看到beikeshop这个用户。故flag为beikeshop

第十题 WAF&APT-10

攻击者留下的反弹shell的后门，在服务器上的位置是?提交后门路径例如:/var/a.exe

我们在告警日志中看到access.log文件是下载的后门。我们history 看一下黑客都干了什么操作。可以看到黑客将下载的access.log文件移动了两次。

找到第⼆次移的⽬录。故flag为/var/log/apache2/other_vhosts_access.log.1

有WAF&APT有15题，还需一章完结。