简介：

1.木马的连接密码是多少
2.黑客执行的第一个命令是什么
3.黑客读取了哪个文件的内容，提交文件绝对路径
4.黑客上传了什么文件到服务器，提交文件名
5.黑客上传的文件内容是什么
6.黑客下载了哪个文件，提交文件绝对路径

1.

木马的连接密码是多少

流量比较少，就不统计IP了，我们直接过滤http，可以看到1.php这个典型的一句话木马，连接密码是 1 ，flag{1}

‍

2.

黑客执行的第一个命令是什么

我们先分析下蚁剑的webshell，下面是加密解密部分，可以看到在传值的时候，头部加了两个字节作为混淆，我们解密时忽略头部两个字节即可

$p = base64_decode(substr($_POST["ma569eedd00c3b"], 2));
$s = base64_decode(substr($_POST["ucc3f8650c92ac"], 2));
$envstr = @base64_decode(substr($_POST["e5d0dbe94954b3"], 2));

可以看到黑客执行的第一条命令为id，flag{id}

‍

3.

黑客读取了哪个文件的内容，提交文件绝对路径

继续分析木马流量，可以发现黑客执行了命令cat /etc/passwd，flag{/etc/passwd}

‍

4.

黑客上传了什么文件到服务器，提交文件名

继续分析木马流量，可以在这条流量看到黑客上传了文件flag.txt，文件内容为 flag{write_flag}，所以 flag{flag.txt}

‍

5.

黑客上传的文件内容是什么

上一题分析过了，flag{write_flag}

‍

6.

黑客下载了哪个文件，提交文件绝对路径

继续分析流量，可以发现黑客下载了 /var/www/html/config.php 这个文件，flag{/var/www/html/config.php}

‍