WAPAPT的题是偏日志分析和研判的。需要对攻击流量有一定了解。文章目录第六题 WAFAPT-06攻击者通过Webshel执行第一个echo命令的输出结果。提交echo的字符串内容第七题 WAFAPT-07攻击者通过Webshell执行了反弹shell的操作提交反弹攻击者服务器的IP和端口,例如:1.1.1.1:1111第八题 WAFAPT-08攻击者向攻击者服务器下载了恶意的后门提交下载攻击者服务器的IP和端口例如:1.1.1.1:1111第九题 WAFAPT-09攻击者创建了一个恶意用户该恶意用户的名称是?提交用户字符串第十题 WAFAPT-10攻击者留下的反弹shell的后门在服务器上的位置是?提交后门路径例如:/var/a.exe有WAFAPT有15题还需一章完结。第六题 WAFAPT-06攻击者通过Webshel执行第一个echo命令的输出结果。提交echo的字符串内容通过webshll执⾏命令⾸先要连接webshell根据蚁剑的特点命令执⾏会在后⾯base64编码的字符串中并且会在前两位添加字符。我们找到连接webshell后的告警。解码后输⼊a3bba6b7a278字符发现是不对的。找到另⼀个 %3D改为 base64解码。故flag为mirage_get_shell_is_so_cool第七题 WAFAPT-07攻击者通过Webshell执行了反弹shell的操作提交反弹攻击者服务器的IP和端口,例如:1.1.1.1:1111找到反弹shell的告警。故flag为192.168.192.39:4488第八题 WAFAPT-08攻击者向攻击者服务器下载了恶意的后门提交下载攻击者服务器的IP和端口例如:1.1.1.1:1111我们找到告警。看请求体故flag为192.168.192.39:8888第九题 WAFAPT-09攻击者创建了一个恶意用户该恶意用户的名称是?提交用户字符串创建恶意用户需要上机排查lastlog看一下可以看到beikeshop这个用户。故flag为beikeshop第十题 WAFAPT-10攻击者留下的反弹shell的后门在服务器上的位置是?提交后门路径例如:/var/a.exe我们在告警日志中看到access.log文件是下载的后门。我们history 看一下黑客都干了什么操作。可以看到黑客将下载的access.log文件移动了两次。找到第⼆次移的⽬录。故flag为/var/log/apache2/other_vhosts_access.log.1有WAFAPT有15题还需一章完结。