玄机-第一章 应急响应-webshell查杀

已于 2024-07-18 23:30:49 修改
阅读量1.3k 收藏 26
点赞数 24
分类专栏: # Linux应急响应 # 玄机靶场 文章标签: linux 网络安全 服务器
于 2024-07-15 00:29:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_60521036/article/details/140425518
版权

文章目录

前言

作者是个垃圾,第一次玩玄机太紧张了,不知道flag是啥样找了半天,第二次开靶机多次尝试才知道格式。争取下次一次过。

简介

靶机账号密码 root xjwebshell
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.黑客免杀马完整路径 md5 flag{md5}

应急开始

准备工作

首先明确我们应急的背景:webshell查杀,查杀工具,分析webshell,找后门webshell
那我的思路就是:

  • 准备工具

    • 河马查杀(Linux/Windows版本)
    • D盾

  • 连接上Linux机子后找到对应的目录/var/www/html下,然后使用scp命令dump下来(如果你使用的是xshell这类工具的话就可以使用另外的一些辅助工具将整个目录download下来)
    命令:scp -r root@ip:/var/www/html /xxx/xxx/xxx
    在这里插入图片描述然后将目录导出来,使用河马和D盾都扫一遍
    提示:我扫描后检查了一遍河马的意思后门,没啥发现可疑的点,所以我后面就都选择看D盾扫描出来的文件了。

  • 使用河马查杀
    在这里插入图片描述

  • 使用D盾
    在这里插入图片描述

步骤 1

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}

这里就是我第一次玩玄机的一个坑,我将所有webshell都看了一遍好像都没找到哪个长得像flag(其实就是自己菜),然后我就去找其他目录下了,发现后面30分钟到了,只能被迫开启第二次。
第二次看的时候看了别人的writeup后发现,原来就在扫描到的webshell中有,那么我就重新找一下。

  • 全部重新打开一遍扫到的webshell后,发现两个长得一样,但是除了一个数据,那就尝试一下是否是flag。
    提交后发现正确,那接下来的路就好走了。
    flag{027ccd04-5065-48b6-a32d-77c704a5e26d} 在这里插入图片描述

步骤 2

2.黑客使用的什么工具的shell github地址的md5 flag{md5}S

玩过ctf,看misc流量包的人都挺敏感的,看到一串MD5值,一看就是某个shell连接工具的默认连接密码,google一搜,出来的是哥斯拉和冰蝎两个。
挑了几篇文章看发现这个就是哥斯拉的默认连接密码
在这里插入图片描述
再者,webshell中前几代码就是哥斯拉的固定特征代码
在这里插入图片描述

在这里插入图片描述

步骤 3

3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx

隐藏shell一般是.符号开头,就是Linux中的隐藏文件,我们的D盾已经扫描出来了,就是 .Mysqli.php

找到该文件的路径进行MD5即为flag
flag{aebac0e58cd6c5fad1695ee4d1ac1919}

步骤 4

4.黑客免杀马完整路径 md5 flag{md5}

免杀马,要么做编码处理要么做变量嵌套要么函数调用要么类调用等等
这里分析后确认就是top.php,其他都是webshell连接的固定webshell,只有这个是经过免杀处理的。
找到该文件路径进行MD5即为flag
flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}
在这里插入图片描述

总结

成果
flag{027ccd04-5065-48b6-a32d-77c704a5e26d}

https://github.com/BeichenDream/Godzilla)
flag{39392de3218c333f794befef07ac9257}

/var/www/html/include/Db/.Mysqli.php
flag{aebac0e58cd6c5fad1695ee4d1ac1919}

/var/www/html/wap/top.php
flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}

做完后这个webshell查杀思路更加清晰了,可以直接dump出来疑似存在webshell的文件,进行一个查杀工具扫描,然后自己再去分析,分析完成后,玄机这个题目中让我去找黑客连接webshell的工具,其实做到这里的时候有种想要去给他溯源一下子的感觉,确实挺不错的。
webshell查杀,以前都是小试牛刀的玩玩查杀,玄机这种玩法确实很刺激,确实有种真实场景下的查杀氛围,因为他要钱啊!!
充钱玩应急是谁想出来的,这玩意儿也太刺激了吧。

竹等寒
关注
专栏目录
应急响应篇】Webshell应急响应指南
大河之犬的博客
04-20 1704
或者将当前网站目录文件与此前备份文件进行比对,查看是否存在新增的不一致内容,确定是否包含 Webshell 相关信息,并确定 Webshell 位置及创建时间。通过在网站目录中发现的 Webshell 文件的创建时间,判断攻击者实施攻击的时间范围,以便后续依据此时间进行溯源分析、追踪攻击者的活动路径。通过日志中发现的问题,针对攻击者活动路径,可排查网站中存在的漏洞, 并进行分析(主要分析什么漏洞导致的webshell攻击)对已发现的漏洞进行漏洞复现,从而还原攻击者的活动路径。
玄机平台应急响应Linux入侵排查
2301_76227305的博客
05-29 1106
这个靶机比较简单,体现不出什么来。实际情况都是很复杂滴,有机会接触到再分享吧。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
玄机】-----应急响应
m0_63138919的博客
05-13 4144
玄机应急响应 题解 一起学习
玄机-应急平台】第九章-blueteam 的小心思3
Aluxian_的博客
07-19 1302
流量分析学习专栏学习![X] BiliBili:鱼影安全[X] 公众号:鱼影安全[X] CSDN:落寞的魚丶[X] 知识星球:中职-高职-CTF竞赛[X] 信息安全评估(高职)、中职网络安全、金砖比赛、世界技能大赛省选拔选拔赛竞赛培训等欢迎师傅们交流学习~应急响应工程师小 c 被通知服务器有对外链接请求的痕迹,并且提供给了小 c 一段 waf 上截获的数据包,请你分析对应的虚拟机环境跟数据包,找到关键字符串并且尝试修复漏洞。
webshell后门自查--河马webshel工具介绍
tootsy_you的博客
06-12 841
Java Web 是很多大型厂商的选择,也正是因为如此,Java Web 的安全问题日益得到重视,JSP Webshell 就是其中之一。最著名的莫过于 PHP 的各种奇思妙想的后门,但与 PHP 不同的是,Java 是强类型语言,语言特性较为严格,不能够像 PHP 那 样利用字符串组合当作系统函数使用,但即便如此,随着安全人员的进一步研究, 依旧出现了很多奇思妙想的 JSP Webshell。如果系统有java webshell被不法分子利用,很容易造成事故。
常用在线 Webshell 查杀工具推荐
最新发布
m0_68483928的博客
08-06 782
这篇文章将介绍几款常用的在线 Webshell 查杀工具,包括长亭牧云、微步在线云沙箱、河马和VirusTotal。每个工具都有其独特的特点和优势,用于帮助用户有效检测和清除各类恶意 Webshell,保障网站和服务器的安全。文章将深入探讨它们的工作原理、适用场景及如何选择合适的工具来应对不同的安全挑战。
河马 webshell扫描器 for Linux 使用
流浪法师的博客
02-10 4653
针对Linux系统的webshell查杀工具,使用简单,功能强大。
玄机应急响应-Linux日志分析
qq_40923603的博客
02-23 4647
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割。2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割。3.爆破用户名字典是什么?如果有多个使用","分割。5.黑客登陆主机后新建了一个后门用户,用户名是多少。4.登陆成功的IP共爆破了多少次。
[ 应急响应工具箱 ] Webshell查杀.rar
02-11
[ 应急响应工具箱 ] webshell查杀工具 包含如下文件 Sangfor_Webshell查杀工具 火绒剑独立版 v2021.06.01 d_safe_2.1.7.2_0107 sysdiag-full-5.0.73.1-2023.02.06.1 火绒剑独立版 v2021.06.01
webshell事件应急响应服务现场操作手册
04-07
webshell事件应急响应服务现场操作手册
2022全国职业技能大赛“信息安全管理与评估“--应急响应日志分析解析(高职组)
Aluxian_的博客
02-16 4778
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引!(1)当竞赛结束,离开时请不要关机;(2)所有配置应当在重启后有效;(3)除了CD-ROM/HDD/NET驱动器,请不要修改实体机的配置和虚拟机本身的硬件设置。所需的设备、机械、装置和材料所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。评分方案本项目模块分数为350分。
Webshell后门查杀
12-20
Webshell后门查杀网络安全领域中的一个重要环节,主要针对的是网站系统被恶意攻击者植入的WebshellWebshell是一种通过Web服务器漏洞植入的特殊脚本,它允许攻击者通过Web接口对目标服务器进行远程控制,执行任意...
玄机-Wordpress-应急响应-WP
weixin_42467891的博客
02-23 1603
前言,日志分析题目我们要先查看攻击者特征和 ip 等,靶场环境是 nginx 的,我们去找 nginx的日志。通过分析可以得出以下日志可均为攻击日志的特征,该日志使用 webshell 执行了系统命令,以该日志为基准完成改题目。
玄机平台应急响应Linux日志分析
2301_76227305的博客
05-31 886
在现实中的日志往往会更庞大更复杂,肯定不会像靶机一样光敲命令就完事了。更多的是需要具体情况具体分析。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
玄机平台应急响应—apache日志分析
2301_76227305的博客
06-03 1370
其实日志查询的命令都差不多的,格式都一样,把你要过滤出来的东西替换即可。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
【置顶】:文章合集系列
一只爱吃橙子的羊
02-13 1254
【置顶】:文章合集系列
玄机-Wordpress-应急响应-WP_玄机应急响应,2024年最新难道网络安全真的凉了
2401_83974173的博客
04-14 1146
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。攻击者进行目录扫描时,一定会进行有大量的请求,该请求的特点是发包间隔短,会有大量的 404 回包,有相同的 UA,我们从以上几点去筛选日志,很容易得出答案。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。最后就是大家最关心的网络安全面试题板块。
Webshell 网络安全应急响应
hackDZ的博客
08-18 2702
webshell 应急操作流程(细)
应急响应】网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析
今天是几号的博客
03-14 2063
并且gsl.aspx webshell实体被删除后,仍然可以连接正常使用,且无法扫描出内存马。aspx内存马查杀项目:ASP.NET-Memshell-Scanner-master。在日志里进行搜索,那些ip访问了gsl.aspx等后门文件。被注入内存马之后,使用gsl可以直接连接任何路径"后门"火绒,管家,X60,Defender,Nod32等。5、在线webshell查杀-灭绝师太版。4、网页篡改与后门攻击防范应对指南。1、抗拒绝服务攻击防范应对指南。8、APT攻击入侵防范应对指南。
应急响应webshell
10-27
应急响应webshell指的是对于网络攻击中利用Web应用漏洞植入的恶意脚本进行应急处理及消除的过程。 首先,当发现系统中存在Webshell时,需要立即进行紧急处置。首要任务是确定受到攻击的服务器是否被完全控制,并尽快切断服务器与外部网络的连接,防止进一步的恶意操作和信息泄漏。 接着,需要分析并确定Webshell的来源,包括被攻击的Web应用程序、操作系统的漏洞或者网络设备的安全风险等,以便进一步修复漏洞和强化系统安全防护。 在查杀Webshell时,可以通过以下步骤进行: 1. 隔离受感染的服务器,确保不会进一步感染其他系统。 2. 分析Webshell的特征和行为,并使用防病毒软件进行扫描查杀。 3. 删除或修复被攻击的Web应用程序,修复系统漏洞,同时更新操作系统和相关补丁,加强系统安全性。 4. 对服务器上的所有账号密码进行修改,并确保使用强密码策略,以防止重新被攻击。 5. 监控服务器日志,确定是否有其他的疑似入侵行为,及时采取应对措施。 6. 恢复服务器服务,重启Web服务和其他相关服务。 最后,应对Webshell攻击的关键是预防。加强安全意识培训,及时更新和升级系统和应用程序,部署防火墙、入侵检测系统等安全设备,进行定期安全审计和漏洞扫描,并配置合理的安全策略和权限控制,以最大程度减少Webshell的攻击风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

竹等寒

谢过道友支持,在下就却之不恭了

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值