前言：

2024铁人三项决赛应急响应
您的同事李白在运维一台部署了移动应用服务端的linux服务器时发现了异常，好像被黑客攻 击了。小李通过简单分析，发现可能是由于公司的移动应用和其服务端程序都存在安全问题导致 的。小李将当天可能与攻击相关的流量导出，并与移动应用一起打包压缩，你可以下载分析。

地址:

链接: https://pan.baidu.com/s/1ZxFSiAeJxFfuFeAB8MhjrA?pwd=w3qi 提取码: w3qi 
--来自百度网盘超级会员v6的分享

题解：

关卡描述:黑客攻击此服务器所使用的2个IP分别是什么(ascii码从小到大排列，空格分隔)

ip.addr == 202.1.1.0/24

202.1.1.1 202.1.1.129

关卡描述:存在安全问题的apk中使用的登录密码是什么?

/flag:password663399

关卡描述:黑客尝试上传一个文件但显示无上传权限的文件名是什么?

form-data;name="avatar";filename="pic.jpg"

关卡描述:黑客利用的漏洞接口的api地址是什么?(http://xxxx/xx)

http://202.1.1.66:8080/api/upload

关卡描述:黑客上传的webshell绝对路径是什么?

/usr/local/tomcat/webapps/ROOT/static/s74e7vwmzs21d5x6.jsp

如上图

关卡描述:黑客上传的webshell的密码是什么?

bing_pass

关卡描述:黑客通过webshell执行的第一条命令是什么?

pwd

关卡描述:黑客获取webshell时查询当前shell的权限是什么?

tomcat

关卡描述:利用webshell查询服务器Linux系统发行版本是什么?

这个直接在靶机上 uname -a

CentOS Linux release 7.4.1708 (Core)

关卡描述:黑客从服务器上下载的秘密文件的绝对路径是什么?

/usr/local/tomcat/webapps/ROOT/static/secert.file

关卡描述:黑客通过反连执行的第一条命令是什么?

cat /etc/passwd

关卡描述:黑客通过什么文件修改的root密码(绝对路径)

上面那个文件 /etc/passwd

关卡描述:黑客设置的root密码是多少?

Hash解密123456

关卡描述:黑客留下后门的反连的ip和port是什么?(ip:port)

在靶机的计划任务中可以找到202.1.1.129:9999

关卡描述:黑客通过后门反连执行的第一条命令是什么?

搜索该IP的流量

rpm -qa | grep pam

关卡描述:黑客通过什么文件留下了后门?

关卡描述:黑客设置的后门密码是什么?

ssh_back_pwd

关卡描述:黑客的后门将root密码记录在哪个文件中?(绝对路径)

/tmp/.sshlog