在Linux中，bash提供了一个环境变量PROMPT_COMMAND，这个环境变量的内容会在每条shell中的命令执行结束后，下一个shell返回前执行，通常情况下，运维人员会用该环境变量来记录每个用户执行命令的时间，IP等信息 在攻击者的工作中，则可以利用该环境变量的特性，进行权限维持 第一个是一次性，第二个是持久化的，第二个写入到/etc/profile中即可实现。pam模块，在/etc/p

这里使用了好几个没有成功，所以就没有尝试了，看来wp，发现使用的是windows/local/always_install_elevated。查看网页源码看看有没有提示，结果看到了它是前端的校验，账号密码是admin:adminpass123。使用ftp来登录，有一个robots.txt，查看，然后访问给出的爬虫网页文件。没有什么可利用的信息，查看网页的源码，也没有什么信息，使用工具扫描。使用给的

我们在探测内网存活主机虽然搭建了代理，但是也不能通过代理去探测，因为fscan和nmap探测都是通过icmp的，所以肯定会探测失败的，这里我是踩过坑的，上传fscan到靶机中扫描才是王道，我们之前的正向代理没有成功，因为目标是docker容器，虽然靶机启动了木马程序，并且监听了我们设置的端口，但是因为我们的kali只能够和目标的边缘服务器，也就是docker的宿主机通信，所以我们木马无法使用，现在

题目解析

因为是ssh爆破，所以我们去看ssh的日志，看secure日志，secure日志记录了用户登录成功和失败的日志 1.进入日志目录/var/log/ 2.确定攻击者的ip地址 通过命令cat secure | grep "Failed" | cut -d " " -f 12 | sort | uniq -c //统计失败次数和字段12，字段12就是攻击者的ip地址，判断攻击者爆破的ip地址。排查gu

主要是这个题目的解题过程和原理，可以帮助大家学习文件包含漏洞