01 前置知识
常用webshell查杀工具:
打包文件到本地分析
tar -czvf web.tar.gz ./*
河马 WebShell 查杀:http://www.shellpub.com
D盾 WebShell 查杀:自行下载
在线沙箱:
vt https://www.virustotal.com
奇安信沙箱 https://sandbox.ti.qianxin.com/sandbox/page
微步云沙箱 https://s.threatbook.com/
安恒云沙箱 https://sandbox.ti.qianxin.com/sandbox/page
360沙箱云 https://ata.360.net/
手工查杀:
在根目录下查找所有后缀为php的文件,-iname意思是不区分大小写
查找其中的恶意关键词
find ./ -type f -iname "*.php" |xargs egrep 'assert|bash|system|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval\(|file_put_contents|base64_decode'
02 题目
靶机账号密码 root xjwebshell
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.黑客免杀马完整路径 md5 flag{md5}
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
首先要先进到网页源码路径
cd /var/www/html
打包源码到本地分析
tar -czvf web.tar.gz ./*
或者直接xftp或者shell工具自带的下载进行下载
下载过程中火绒已经报毒😂😂😂
使用河马在线查杀
D盾查杀
再试试手工查杀语句
find ./ -type f -iname "*.php" |xargs egrep 'assert|bash|system|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval\(|file_put_contents|base64_decode'
基本可以确认木马文件就是这四个
/var/www/html/shell.php
/var/www/html/include/gz.php
/var/www/html/wap/top.php
/var/www/html/include/Db/.Mysqli.php
挨个查看一下马子中的文件内容,在gz.php中发现flag
flag{027ccd04-5065-48b6-a32d-77c704a5e26d}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
将找到的马丢沙箱看看,大概率是常规工具,蚁剑,冰蝎,天蝎,哥斯拉之类的
gz.php判定为哥斯拉马
https://github.com/BeichenDream/Godzilla
flag{39392de3218c333f794befef07ac9257}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
隐藏shell就是.xxx文件,用ls -al可以查看该隐藏文件,此处就是/var/www/html/include/Db/.Mysqli.php
flag{aebac0e58cd6c5fad1695ee4d1ac1919}
4.黑客免杀马完整路径 md5 flag{md5}
/var/www/html/wap/top.php
flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}
515
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
