在线靶场-墨者-电子数据取证1星-日志文件分析溯源(连接WebShell的IP地址)
webshell的连接一般都是POST所以我们要留意POST的请求,发现大多的POST都是POST /home/index/getSys Messages.html HTTP/1.1" 200 56这一种。
然后寻找不同的POST:“POST /uploads/upload/xiaoma.php HTTP/1.1” 200 492。而且这一句话中蕴含了uploads和xiaoma这个关键字,证明这个ip(218.240.231.178)上传了一个小马的php后门,进行webshell连接。
将此ip输入靶场网页,即可得到本题的key。