简介：

服务器场景操作系统 Linux
服务器账号密码 root xjty110pora 端口 2222

任务环境说明
注：样本请勿在本地运行！！！样本请勿在本地运行！！！样本请勿在本地运行！！！
应急响应工程师小王某人收到安全设备告警服务器被植入恶意文件，请上机排查

1.

找到黑链添加在哪个文件 flag 格式 flag{xxx.xxx}

一般来说黑链是通过特殊样式隐藏在源码里的，尝试搜索了几个特征的字符串没有搜到，但是搜索黑链却直接搜到了（好叭，确实模拟），这个问题放到后面的题目再说。grep -rn "黑链"，flag{header.php}

‍

2.

webshell的绝对路径 flag{xxxx/xxx/xxx/xxx/}

这里直接上D盾扫描，发现几个可疑webshell文件，我们逐个排查

最终确认webshell文件为404.php，flag{/var/www/html/usr/themes/default/404.php}

‍

3.

黑客注入黑链文件的 md5 md5sum file flag{md5}

在上一题排查webshell的时候，就发现注入黑链文件的代码，我们来分析一下。设置跳转，定义宽高为0的 iframe 元素，写入webshell

做到这里，豁然开朗，header.php是网站的导航栏，几乎显示在每个界面中，如果将header.php里面的模拟黑链部分设置成iframe属性，就可以达到肉眼不可见的黑链效果了，flag{10c18029294fdec7b6ddab76d9367c14}

‍

4.

攻击入口是哪里？url请求路径，最后面加/ flag{/xxxx.xxx/xxxx/x/}

在服务器上排查了很久，看了好久apache日志，最多只能确定黑客IP，找不到攻击的手法，最后才想起来服务器上还有个流量包没看（骂骂咧咧）。

可以看到这条流量的Cookie里构造了 XSS + CSRF 的攻击，加载了poc1.js脚本，写入了webshell，但是我还是没找到这个poc1.js怎么上传到服务器的（存疑），flag{/index.php/archives/1/}