前言
等了好久终于抽到了玄机的靶场邀请码,今天来体验一下,记录下自己的学习过程。
项目地址:https://xj.edisec.net/challenges/25
靶机账号密码 root xjwebshell 1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx} 2.黑客使用的什么工具的shell github地址的md5 flag{md5} 3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx 4.黑客免杀马完整路径 md5 flag{md5}
解题过程
先用xshell远程连接 一下,输入ip直接连接
查找webshell
这里是学习一个大佬选择手动查询,我们也可以使用河马等webshell工具,注意目标主机是linux服务器
find ./ -name "*.php" | xargs grep "eval("
这里发现了flag{{027ccd04-5065-48b6-a32d-77c704a5e26d}。这里我们可以得出他是哥斯拉。因为哥斯拉的php特征哥斯拉php马特征
-
session_start() 创建或者重启一个会话
-
@set_time_limit(0) 设置程序最长运行时间 永远
-
@error_reporting(0) 关闭错误报告
-
$key=xxxxxxxxx 加解密的盐值
所以第二个flag就是Godzilla的github地址的md5值(用md5加密一下就好了)
GitHub - BeichenDream/Godzilla: 哥斯拉
Flag2: flag{39392DE3218C333F794BEFEF07AC9257}
接着来看找到的第二个shell ./include/Db/.Mysqli.php
当我们进入目标文件夹时,用ls显示文件看到的只是正常的数据库配置文件
该webshell通过以 ‘.’ 开头对shell命名,得到的文件就是隐藏文件,这时得使用
ls -a
典型的哥斯拉马子特征
所以第三个flag 为该shell的地址:/var/www/html/include/Db/.Mysqli.php
Flag3: flag{AEBAC0E58CD6C5FAD1695EE4D1AC1919}
php免杀马通常字符串异或加密、base家族加密、rot13加密 字符串拼接等方式实现
这里尝试最常见的base64编码,同样也是通过find去匹配关键字查询
find ./ -name "*.php" | xargs grep "base64_decode"
所以第三个flag 为该shell的地址:/var/www/html/wap/top.php
Flag4: flag{EEFF2EABFD9B7A6D26FC1A53D3F7D1DE}
总结
针对一些文件不方便放webshell查杀工具的,可以直接全局搜
find ./ -name "*.php" | xargs grep "base64_decode"
哥斯拉php马的特征:
-
webshell配置,常见于文件头session_start(); @set_time_limit(0); @error_reporting(0);
-
默认的加解密盐值:3c6e0b8a9c15224a
-
有一个向SESSION中存储攻击荷载的过程,就是会有一个
$_SESSION[$XXX]=P
的过程
这是第一次使用玄机这个平台打靶机,有很多不懂的地方,网上相关的资料不是很多,但是有一位师傅写的特别详细,相关知识点也有解释,文章后半段用了师傅相关的图片特此说明。通过本次联系,发现自己还有很多应急响应相关的知识点空缺,决定好好的学习一下webshll工具特征。