jklove9的博客

Q1:服务器自带的后门文件是什么？查看第一个POST请求，发现关键点（备注：file_put_contents内置函数，用于将字符串写入文件）然后通过一句话木马文件d00r.php执行whoami,ls等一系列系统命令。因此服务器自带的后门文件是Q2:服务器的内网IP是什么？如下所示：第22251个流，追踪http数据流，查看ipconfig的回显，发现内网ip地址为：192.168.101.132Q3:攻击者往服务器中写入的key是什么？

XX大赛内存取证

对比第5个流和第7个流发现，同样的目录下 多出了6666.jpg。猜测是由攻击者上传，直接在请求包里搜索FFD8--FFD9 保存为1.jpg。继续追踪TCP数据流，在第9个数据流发现压缩包，导出压缩包（注意一定是转换成原始数据）利用foremost工具对1.jpg进行分离 得到下述图片。压缩包带密码，其密码就是上述图片中给出的密码。分析流量包，过滤http数据流。