玄机应急响哥斯拉ekp版本流量分析-WriteUp By 小乐

主要观点总结

本文主要描述了一个EDI安全的CTF战队关于一次实战渗透的经验分享，涉及了黑客入侵、木马文件、后门等关键点。

关键观点总结

关键观点1: EDI战队参与CTF比赛，诚招师傅加入。

描述EDI战队的活动和招募信息。

关键观点2: 实战中使用的webshell连接工具魔改或内部研发。

介绍黑客使用的工具特点。

关键观点3: 木马文件名和链接的识别与分析。

涉及黑客上传的木马文件名、链接及其密钥的分析。

关键观点4: 黑客连接webshell后的执行命令。

描述黑客入侵后的首个操作。

关键观点5: 解密脚本的执行和结果。

介绍解密脚本的流程以及解密结果。

关键观点6: 黑客根据参数回显的信息。

描述木马根据哪个参数进行回显。

关键观点7: 后门反连的IP和PORT。

揭示黑客留下的后门反连信息。

关键观点8: 新增的后门用户名和密码。

描述黑客新增的后门账户信息。

关键观点9: 后门文件的位置和识别。

指出黑客新增的后门文件的具体路径。

关键观点10: 黑客的后门公钥的md5值。

提交黑客的后门公钥的md5值。

关键观点11: 代理的类型、路径和密码。

描述黑客使用的代理的相关信息，包括类型、路径和密码。

关键观点12: 黑客扫描的IP和端口。

揭示黑客扫描的IP地址以及开放的端口信息。

文章预览

EDI JOIN US ▶▶▶ 招新 EDI安全的CTF战队经常参与各大CTF比赛，了解CTF赛事。 欢迎各位师傅加入EDI，大家一起打CTF，一起进步。（ 诚招web re crypto pwn misc方向的师傅）有意向的师傅请联系邮箱root@edisec.net、shiyi@edisec.net（带上自己的简历，简历内容包括但不限于就读学校、个人ID、擅长技术方向、历史参与比赛成绩等等。 点击蓝字 ·   关注我们 01 前言 1 题目 实战中使用的webshell连接工具基本上都是魔改或内部研发的，通过网上公开的哥斯拉ekp版本来学习如果HW中遇到魔改的应该如何去下手分析 请你登录服务器结合数据包附件来分析黑客的入侵行为 用户名：root 密码：toor SSH连接：ssh root@ip -p222 2 黑客上传的木马文件名是什么 flag{.index.jsp} 3 黑客上传的木马链接是什么 flag{mypass} 4 黑客上传的木马链接密钥是什么 flag{9adbe0b3033881f8} 5 黑客连接webshell后执行 ………………………………