首页 > 其他分享 >某省信息安全管理与评估第二阶段应急响应

某省信息安全管理与评估第二阶段应急响应

时间:2024-01-24 18:15:06浏览次数:35  
标签:php 信息安全 prism 某省 答案 服务器 日志 第二阶段 find

别人发我的题目,!!

工作任务

第一部分 网络安全事件响应
任务1:应急响应
A集团的WebServer服务器被黑客入侵,该服务器的应用系统被上传恶意软件,重要文件被破坏,作为一个信息安全工程师需要针对企业发生的网络安全事件启动应急响应,根据企业提供的环境信息进行数据取证调查,调查服务器被黑客攻击的相关信息,发现被黑客放置在服务器上的恶意软件或后门程序,分析黑客如何入侵进服务器。
本任务素材包括:Server服务器虚拟机(VMWare格式)
受攻击的Server服务器已整体打包成虚拟机文件保存,请选手自行导入分析,WebServer服务器的基本配置参见如下,若题目中未明确规定,请使用默认配置。
Linux: root/123456
Mysql: web/chinaskills@2022
请按要求完成该部分的工作任务,答案有多项内容的请用换行符分割
image
下载靶场附件,自行搭建靶场。
wp:https://mp.weixin.qq.com/s/9hzgR1OGZygMe3Blvhk-Wg

第一题:

image
连接上靶机
通过查询日志
image
发现是apache2服务,我们cd进去。这里边就是apache的日志
image
其中,access.log是我自己访问web时生成的新的日志。发现access.log.1是记录的日志
我们先查看access.log.1的日志
image
在184行发现有DIRSEARCH,这是一个dirsearch扫描目录
所以第一题答案为:192.168.1.7

第二题:

根据第一题
dirsearch扫描到9177行,
image
发现有个Linux x86_64的操作系统,在9185行
所以第二题答案是:Linux x86_64

第四题

根据第一题发现的DIRSEARCH
所以第四题答案是:dirsearch

第六题

image
发现有1.php,在后面有whoami的请求
我们查看一下这个文件,目录为/data/avatar/1.php
linux服务器目录一般为/var/www/html
image
确实存在病毒,刚刚想查看文件 火绒就报毒了。
image
确实是一个木马文件
所以第六题答案为:/var/www/html/data/avatar/1.php;2022

第五题

回顾刚刚解的第六题
image
前面的时间刚好是攻击成功的时间
所以第五题的答案为:24/Apr/2022:15:26:42

第七题

将这个网站的打包下来
image
刚打包就报了两个webshell
image
看见有刚才看见的1.phpfooter.php
image
查看一下footer.php,确实是个webshell
所以第七题答案:footer.php

第八题

用ps -aux查看linux进程
image
发现有个./prism进程
搜索了一下
image
发现是个木马
所以第八题答案为:./prism

第九题:

在第八题的基础上
于是找它的文件位置,用lsof -p (pid号)
lsof -p 904
image
所以位置为:/root/.mal/prism
或者可以使用find命令

按文件名:find 路径 -name "文件名"
或者home目录下的所有以.c为后缀的文件:find /home -name "*.c"

find / -name "prism"
image
所以第八题答案:/root/.mal/prism

第三题

根据题目说使用资产收集的平台
于是筛选“www.”
image
看到一个shodan的网址
所以第九题答案为:shodan

标签:php,信息安全,prism,某省,答案,服务器,日志,第二阶段,find
From: https://www.cnblogs.com/ExploreADaiiWorld/p/17983094

相关文章

  • 信息安全管理与评估整理-ipv6无状态地址自动配置
    无状态地址自动配置实验一1.接口下配置ipv6地址,关闭ra消息抑制,没有建立dhcp地址池只在接口下面将o位置一实验过程截图Wriershark抓包数据前缀信息A,O比特数据交换机配置Pc获取到的地址实验二2.接口下配置ipv6地址,关闭ra消息抑制,接口下未再进行其他配置Wireshark抓......
  • 信息安全管理与评估整理--ipv6有状态自动配置
    Ipv6地址池自动配置有状态以下是关闭ra消息抑制,配置前缀地址池方式,有状态自动配置l不自动获取网关,通过修改网卡—高级设置添加默认网关方式建立本地地址池调用l接口下调用通过wireshark抓包,需要将消息开启才能看到M,O为位比特前缀地址池信息A位与O位含义A比特位:f......
  • 某信息安全研究机构:打造创新人才学习平台,增强企业数字化转型内生安全动力
    某信息安全研究机构是该领域具有重要影响力的研究咨询与决策支撑机构,是保障信息安全的重要机构。该信息安全研究机构聚焦安全主业,加强特色智库建设,为经济高质量发展提供智力支持和决策参考。同时,不断强化信息安全综合保障能力、关键软件产业生态促进能力,加强制度建设和合规管理,提高......
  • 合天实验室-职业院校技能竞赛信息安全管理与评估赛前训练
    抓包工具HTTP协议基础1.HTTP教程:http://www.runoob.com/http/http-tutorial.html2.HTTP协议详解:http://www.cnblogs.com/li0803/archive/2008/11/03/1324746.html3.99%的人都理解错了HTTP中GET与POST的区别:https://juejin.im/entry/57597bd45bbb500053c88b4c4.推荐书......
  • 鸿蒙生态进入第二阶段,加速千行百业应用鸿蒙化
    【中国,深圳,2024年1月18日】,华为宣布HarmonyOSNEXT鸿蒙星河版开发者预览面向开发者开放申请,这意味着鸿蒙生态进入第二阶段,将加速千行百业的应用鸿蒙化。华为常务董事、终端BGCEO、智能汽车解决方案BU董事长余承东公布鸿蒙生态最新进展:鸿蒙生态设备数量仅历时5个月即从7亿增长......
  • 信息安全认证 | CISP考试说明
    注册信息安全专业人员(CertifiedInformationSecurityProfessional,简称“CISP"),是由中国信息安全测评中心依据中编办赋予的职能,建立和发展的一整套完整的信息安全保障人才培训体系。CISP证书是国家对信息安全专业人员能力的最高认可。01证书价值1.权威性CISP是由中国信息安全测评......
  • 网工内推 | 信息安全主管,CISP/CISSP认证优先,最高25K
    01武汉华康世纪医疗股份有限公司招聘岗位:网络安全主管职责描述:1、推进公司信息/网络安全管理体系规划、建设、持续改进,促进信息安全管理的推行落地,保障网络、系统与数据安全;2、维护管理信息/网络管理软件,设备如:防火墙、IPS、堡垒机、AD域等;3、负责公司信息/网络安全(风险预防、安......
  • 2023年山东省职业院校技能大赛高职组信息安全管理与评估 理论题
    2023年山东省职业院校技能大赛高职组信息安全管理与评估理论题理论技能与职业素养(100分)2023年山东省职业院校技能大赛高职组信息安全管理与评估理论题【注意事项】Geek极安云科专注技能竞赛技术提升,基于各大赛项提供全面的系统性培训,拥有完整的培训体系。团队拥有曾获国奖......
  • 2023年山东省职业院校技能大赛高职组信息安全管理与评估 模块一
    2023年山东省职业院校技能大赛高职组信息安全管理与评估模块一模块一竞赛项目试题根据信息安全管理与评估技术文件要求,模块一为网络平台搭建与网络安全防护。本文件为信息安全管理与评估项目竞赛-模块一试题。所需的设备、机械、装置和材料:所有测试项目都可以由参赛选手根据......
  • 信息安全中容易被忽视的高风险行业
    加强信息安全保护是我们每个企业和公民应尽的责任,如忽视信息安全保护,会让信息数据和系统遭到破坏和威胁。但是有些行业在信息安全中容易被忽视: 金融业:金融业涉及到大量的个人和企业敏感信息,如银行卡信息、交易记录等。如果这些信息被泄露或滥用,将对个人和企业造成重大损失。 医疗卫......