题目：
1.提交攻击者IP

2.提交攻击者修改的管理员密码(明文)

3.提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)

4.提交Webshell连接密码

5.提交数据包的flag1

6.提交攻击者使用的后续上传的木马文件名称

7.提交攻击者隐藏的flag2

8.提交攻击者隐藏的flag3

解题过程：

虚拟机登陆

账号：root

密码：Inch@957821.

然后去查看本机ip,再用nmap扫描我们刚刚开的靶机IP地址然后去远程连接:

本机ip:

扫描该网段的设备:(半隐蔽扫描,并且用CIDR表示法)

namp -sS

发现 靶机IP地址: 192.168.88.137

用ssh连接靶机:

成功连接,现在开始做题:

查看历史命令: history

有宝塔面板,但是我们不知道宝塔面板的密码,我们去修改:

命令行输入bt:

选择(5)修改面板密码

然后选择(14)去查看面板的网址信息

同时也可以看到面板的账号是: uysycv5w

拿到地址后,去访问登录:

在网站日志中可看到全部是 192.168.20.1 的IP地址

数据库账号密码在那一行，密码显示，可以通过面板或者公共方式访问 phpMyAdmin 

这里我们选择面板访问，输入账号密码

用户名：kaoshi

密码：5Sx8mK5ieyLPb84m

成功登录 phpMyAdmin ,发现 kaoshi 数据库

在第二页的 x2_user 表中发现账号密码，密码被加密了，需要查看源码看是什么加密算法来进行逆推

不过这里一眼就可以看出是md5加密

在 文件 选项卡下，发现了 register.app.php 是注册页面，双击文件即可打开在线编辑器查看文件，发现第65行，存储密码时调用了 modifyUserPassword 函数来加密

之后在 user.cls.php 页面中发现 modifyUserPassword 函数代码块，发现利用的是md5加密算法

发现木马写在了 注册协议 的 注册页面 ，注册协议的路由为 user-app-register

MobaXterm 软件可以直接拖拽至桌面即可完成下载

输入 tcp.stream eq 30 过滤出一段数据流，选择 /version2.php 那一行右键，在弹出的菜单栏中选择 追踪流 — TCP流 ，即可弹出页面，在页面中发现经典的 冰蝎Webshell特征

查看 history 命令出来的命令历史记录，发现攻击者疑似依次修改过mpnotify.php 与 alinotify.php 两个文件还有flag3

在 alinotify.php 文件中发现flag2