webshell查杀
首先查看环境
uname -a
debain
查看所有自定义服务
systemctl list-units --type=service
第一题
信息搜集得知是apache提供的http服务
来到apache网站默认目录/var/www/html
上河马针对该web目录扫描
扫描出 发现shell.php为木马文件
cat后未发现flag 可能免杀这个木马
直接在线查杀
每一个去cat一下
在gz.php内发现flag
答案:
flag{027ccd04-5065-48b6-a32d-77c704a5e26d}
第二题
分析恶意文件的访问时间
stat shell.php
stat ./include/gz.php
Modify 为最后修改时间 发现都是 2023-08-02 02点50左右
指定shell.php查看apache的访问日志的请求头
awk -F “-” ‘/shell.php/ {print $2}’ access.log
可以发现 ua头每次请求都在变化,
https://github.com/BeichenDream/Godzilla
答案:
flag{39392DE3218C333F794BEFEF07AC9257}
第三题
/var/www/html/include/Db/.Mysqli.php
答案:
flag{AEBAC0E58CD6C5FAD1695EE4D1AC1919}
第四题
/var/www/html/wap/top.php
0E58CD6C5FAD1695EE4D1AC1919}