리버스쉘을 동작시키는 프로세스 ID를 찾아보자
프로세스 정보인 PID는 process 폴더의 ps_eaf에 있다.
의심되는 프로세스가 2개 있다.
5244는 쉘 명령어 옵션을 주고 5245가 실제 php 명령을 실행하는 프로세스라고 볼 수 있다.
KEY : 5245
'Forensics > CTF' 카테고리의 다른 글
| [DISK] 이벤트 예약 웹사이트를 운영하고… #C (0) | 2021.04.30 |
|---|---|
| [DISK] 이벤트 예약 웹사이트를 운영하고... #A (0) | 2021.04.30 |
| [Memory] GrrCON 2015 #3 (2) | 2021.04.02 |
| [Memory] GrrCON 2015 #1,2 (0) | 2021.04.02 |
| [Network] DefCoN#21 #2 (0) | 2021.04.01 |
