或者导出HTTP对象,一个个找,在index.php%3fm=home&a=assign_resume_tpl文件中发现了含有phpinfo()页面的东西,将其后缀变更为.html用浏览器打开,然后找到答案。追踪tcp流,在流38中发现一串十六进制代码,这是蚁剑特征的数据流 ,将=号后面的内容进行base16解码,找到答案。根据上题,1.php就是黑客上传的webshell,继续往下分析1.php可以看到frpc就是代理工具客户端。搜索whoami,在317号包发现whoami,在319号响应包有结果。
