应急响应-webshell查杀

  

玄机靶场地址：https://xj.edisec.net

第一章 应急响应-webshell查杀

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.黑客免杀马完整路径 md5 flag{md5}

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}

首先，需要看一下系统都有哪些服务，可以用netstat命令

netstat -antlp

可以看到有apache和mysql服务，一般来说黑客都是通过apache对外服务上传webshell，上传的目录在apache默认的web根目录下。我们可以切换到cd /var/www/html下。

前面说过，黑客上传的webshell会有一些关键字，比如eval()、assert()这种函数，上传的文件结尾为php。所以我们可以用find命令搜索一下关键字。

find./ -name "*.php" | xargs grep "eval("

xargs 可以将管道或标准输入数据转换成命令行参数，也能够从文件的输出中读取数据，通常和管道符一起使用

之后我们对搜索出的三个文件依次进行排查，排查./include/gz.php文件时发现 Flag 为027ccd04-5065-48b6-a32d-77c704a5e26d

我们也可以把整个目录打包下来，放到D盾里跑一下。

2.黑客使用的什么工具的shell github地址的md5 flag{md5}

第二题是问用的什么工具。我们在shell.php里可以看到一段key值3c6e0b8a9c15224a，熟悉哥斯拉的师傅就能看出来，这是哥斯拉工具特征。

如果不知道的可以把这段key值在网上搜索一下，也会提示哥斯拉工具。

所以第二个flag就是Godzilla的github地址的md5值

https://github.com/BeichenDream/Godzilla

转成 md5 为39392de3218c333f794befef07ac9257，得到 Flag

3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx

问的是隐藏shell，根据之前查杀结果，有一个文件是.mysqli.php，这就是一个隐藏文件。需要使用ls -a命令显示隐藏文件。切换到/var/www/html/include/Db/.Mysqli.php目录下，用pwd命令也可以显示完整路径。转成md5 为aebac0e58cd6c5fad1695ee4d1ac1919

4.黑客免杀马完整路径 md5 flag{md5}

常用的免杀马一般用base64、字符串异或加密、Base 家族加密、rot13加密、字符串拼接等方式实现加密。我们可以手动搜索一下

find./ -name "*.php" | xargs grep "base64_decode"

这里在/var/www/html/wap/top.php中找到了 Base64 加密方法

打开确认的确是免杀马，最终生成路径 md5 为eeff2eabfd9b7a6d26fc1a53d3f7d1de

各位师傅们，我们入驻知识大陆啦！

经过2个月时间，帮会已有800+高价值干货笔记，且还在持续更新中

帮会简介

帮会专注于网安安全领域，每日分享行业最新资讯和前沿学习资料。同时还会不定期分享常用工具、教程等实用资源。

帮会中已发布800+各类安全攻防资源，所有发布的内容均精心挑选、成体系化，让你远离无用信息及零碎的知识点。

加入帮会，你可获得：

1.  各类网络安全攻防、CTF比赛信息、解题工具、技巧、书籍、靶场资源；

2.  攻防思维导图，0基础开启网络安全学习之路；

3.  遇到任何技术题都快速提问与讨论交流的思路；

4.  组织队伍参与各类CTF比赛；

5.  面试大厂心得及内推资格；

6.  学习规划、人生规划也可以探讨哦！

帮会内容和资源

1、攻防对抗

2、  分析研判

3、  渗透测试

4、  帮会资源百宝箱

5、社群

帮会技术保证

帮主：网络安全攻防实验室

● 「网络安全攻防实验室」的帮主

● 公众号“网络安全实验室”的作者

● 资深安全专家，15年网安经验

● 拥有丰富的HW、重大保障、应急响应、安全运营、网络交换等方面经验/独特见解

权益升级活动

原价59元年卡

现在59元享永久会员

微信扫码支付即可加入

⬇️

如果觉得有用，记得关注公众号、收藏文章哦！

关注公众号，回复“CTF”，领取CTF各方向学习/解题思维导图。回复“面试”，领取网安面试必考题及面试经验。

往期文章

---

CTF之misc杂项解题技巧总结（六）——视频、音频文件

CTF之misc杂项解题技巧总结（五）——图片文件

CTF入门必备之题型介绍

CTF之misc杂项解题技巧总结（四）——SWF游戏和取证分析

CTF之misc杂项解题技巧总结（三）——压缩文件

CTF之misc杂项解题技巧总结（二）——隐写术

CTF之misc杂项解题技巧总结（一）——编码与加密

干货|CTF工具资源库

11月全球CTF比赛时间汇总来了！

新手如何入门CTF？ctf比赛/学习资源整理，记得收藏！

CTF之web常见题型及解题技巧总结

CTF学习之CRYPTO（密码学）总结

CTF pwn 中最通俗易懂的堆入坑指南

CTF之misc杂项解题技巧总结（七）——流量分析、搜索引擎及

12月全球CTF比赛时间汇总来了！

ctf比赛/学习资源整理，记得收藏！文末有CTF群

CTF-REVERSE练习之逆向初探

CTF学习路线推荐，建议收藏

CTF解题基本思路步骤（misc和web）

Linux PWN从入门到熟练

Linux PWN从入门到熟练（二）

CTF apk 安卓逆向考点、例题及三款移动应用安全分析平台

CTF 六大方向基础工具合集

CTF-MISC基础-压缩包隐写总结及常见套路

建议收藏，CTF网络安全各方向入门知识汇总

超详细，手把手教你打造CTF动态靶场

移动安全入门教程--Xposed篇

基于Ubuntu搭建CTFd平台（全网最全）

年度总结，2022年CTF精华文章汇总

1月全球CTF比赛时间汇总来了！

CTF指南--隐写术总结

ctf杂项misc之文件修复，含文件结构修复、高度修复、标识修复

ctf杂项misc之音频隐写总结

CTF之web安全赛题解析

一道简单Chacha20_RC4算法CTF题目

CTF学习、项目、工具知识仓库

网络安全个人技能发展路线图

CTF-综合测试(高难度)【超详细】

CTFHUB--技能树--SSRF全解（上篇）

CTFHUB--技能树--SSRF全解（下篇）

网络安全初、中、高阶学习路线图，建议收藏！

2023年网络安全技术自学路线图及职业选择方向

逆向分析学习入门教程

CTF PWN新手入门篇，PWN学习总结

网络安全ctf比赛/学习资源整理，解题工具、思路、靶场、学习路线，推荐收藏！

网络安全思维导图

网络安全 CTF(加密, 解密)全过程解析

CTF网络安全之Misc-zip压缩包分析

CTF无线网络安全技术基础

2月国内外CTF比赛时间汇总来了！

网络安全面试题（含答案）

网络安全思维导图

Kali linux无线网络渗透详解笔记

数据库语法整理及WAF绕过方式

干货|网络安全渗透测试面试问题汇总，持续更新 建议收藏

几道ctf的密码入门题目

CTFer成长之路之CTF中的SQL注入

CTFer成长之路之命令执行漏洞

端口漏洞总结

ctf比赛linux渗透测试常用命令，记得收藏

2022年网络攻击事件盘点

END

扫码关注

网络安全研究所

更多精彩等着你