取证题目

1. 在/var/log/httpd/access.log 文件中有蚁剑连接php记录，在202011月的log中 有两个ip 192.168.232.1 和 192.168.232.201
2. 有一个ip是扫描路径 对其User-Agent 过滤并计数
3. 跳过
4. 在www中db_connect找到数据库密码 在mysql数据库找到admin用户名密码admin：admin123
5. 跳过了，当时没找到modsec_aduit.log那个log，跳过了才看到（富贵险中求了）
6. 在www中找到manage_user.php 找到操作为 ajax.php?action=（忘了），在log中在modsec_aduit.log中搜索相应的数据包 hacker：hacker2333
7. 同上，www中site_啥啥啥.php I Got Your Site
8. 好像是查看webshell文件时间 通过log找到相应文件，用 ll --full-time 查看
9. 问用蚁剑都运行了什么命令，但是这VNC不能复制啊，没法解码，那怎么办嘛。。。

企业渗透

Web2 扫描发现ftp弱口令 ftp:123456 登录后发现flag2 和web的登录账号密码。
Web3 访问80端口，发现是原题，时hack the box的题目，访问 cdn-cgi/login,查看源代码发现flag3，利用修改session登录超级管理员权限，然后上传webshell，发现有flag.php 得到flag4