Problem: [陇剑杯 2023]IR(五)
思路
- 解题大致思路
1.题目描述
链接: https://pan.baidu.com/s/1ugm1eWDanbZEZA1aBBWlgA?pwd=skpb 提取码: skpb
解压密码为f0b1ba11478343f404666c355919de3f
你是公司的一名安全运营工程师,今日接到外部监管部门通报,你公司网络出口存在请求挖矿域名的行为。需要立即整改。经过与网络组配合,你们定位到了请求挖矿域名的内网IP是10.221.36.21。查询CMDB后得知该IP运行了公司的工时系统。(虚拟机账号密码为:root/IncidentResponsePasswd)
攻击者发起攻击时使用的User-Agent是?(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案)
得到的答案使用NSSCTF{}格式提交
2.开始查找
直接先从他的日志中寻找
查看一下 /var/log/nginx/access.log
首先先将他的空格 给去除和转为小写
echo -n 'mozilla/5.0 (compatible; baiduspider/2.0; +http://www.baidu.com/search/spider.html)'') | sed 's/ //g'
mozilla/5.0(compatible;baiduspider/2.0;+http://www.baidu.com/search/spider.html))
然后经过题目给的转换为md5值
echo -n 'mozilla/5.0(compatible;baiduspider/2.0;+http://www.baidu.com/search/spider.html)'|md5sum|cut'|md5sum|cut) -d ' ' -f1
6ba8458f11f4044cce7a621c085bb3c6
EXP
- 具体攻击代码
总结
- 对该题的考点总结