玄機-第一章應急響應-webshell查殺

竹等寒發表於2024-07-16

前言
簡介
應急開始
- 準備工作
- 步驟 1
- 步驟 2
- 步驟 3
- 步驟 4
總結

前言

作者是個垃圾，第一次玩玄機太緊張了，不知道flag是啥樣找了半天，第二次開靶機多次嘗試才知道格式。爭取下次一次過。

簡介

靶機賬號密碼 root xjwebshell
1.駭客webshell裡面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.駭客使用的什麼工具的shell github地址的md5 flag{md5}
3.駭客隱藏shell的完整路徑的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.駭客免殺馬完整路徑 md5 flag{md5}

應急開始

準備工作

首先明確我們應急的背景：webshell查殺，查殺工具，分析webshell，找後門webshell
那我的思路就是：

準備工具
- 河馬查殺（Linux/Windows版本）
- D盾
連線上Linux機子後找到對應的目錄/var/www/html下，然後使用scp命令dump下來（如果你使用的是xshell這類工具的話就可以使用另外的一些輔助工具將整個目錄download下來）
命令：scp -r root@ip:/var/www/html /xxx/xxx/xxx
然後將目錄匯出來，使用河馬和D盾都掃一遍
提示：我掃描後檢查了一遍河馬的意思後門，沒啥發現可疑的點，所以我後面就都選擇看D盾掃描出來的檔案了。
使用河馬查殺
使用D盾

步驟 1

1.駭客webshell裡面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}

這裡就是我第一次玩玄機的一個坑，我將所有webshell都看了一遍好像都沒找到哪個長得像flag(其實就是自己菜)，然後我就去找其他目錄下了，發現後面30分鐘到了，只能被迫開啟第二次。
第二次看的時候看了別人的writeup後發現，原來就在掃描到的webshell中有，那麼我就重新找一下。

全部重新開啟一遍掃到的webshell後，發現兩個長得一樣，但是除了一個資料，那就嘗試一下是否是flag。
提交後發現正確，那接下來的路就好走了。
flag{027ccd04-5065-48b6-a32d-77c704a5e26d}

步驟 2

2.駭客使用的什麼工具的shell github地址的md5 flag{md5}S

玩過ctf，看misc流量包的人都挺敏感的，看到一串MD5值，一看就是某個shell連線工具的預設連線密碼，google一搜，出來的是哥斯拉和冰蠍兩個。
挑了幾篇文章看發現這個就是哥斯拉的預設連線密碼
在這裡插入圖片描述
再者，webshell中前幾程式碼就是哥斯拉的固定特徵程式碼

在這裡插入圖片描述

將哥斯拉的github下載地址進行MD5
https://github.com/BeichenDream/Godzilla
flag{39392de3218c333f794befef07ac9257}

步驟 3

3.駭客隱藏shell的完整路徑的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx

隱藏shell一般是.符號開頭，就是Linux中的隱藏檔案，我們的D盾已經掃描出來了，就是 .Mysqli.php

找到該檔案的路徑進行MD5即為flag
flag{aebac0e58cd6c5fad1695ee4d1ac1919}

步驟 4

4.駭客免殺馬完整路徑 md5 flag{md5}

免殺馬，要麼做編碼處理要麼做變數巢狀要麼函式呼叫要麼類呼叫等等
這裡分析後確認就是top.php，其他都是webshell連線的固定webshell，只有這個是經過免殺處理的。
找到該檔案路徑進行MD5即為flag
flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}
在這裡插入圖片描述

總結

成果：
flag{027ccd04-5065-48b6-a32d-77c704a5e26d}

https://github.com/BeichenDream/Godzilla)
flag{39392de3218c333f794befef07ac9257}

/var/www/html/include/Db/.Mysqli.php
flag{aebac0e58cd6c5fad1695ee4d1ac1919}

/var/www/html/wap/top.php
flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}

做完後這個webshell查殺思路更加清晰了，可以直接dump出來疑似存在webshell的檔案，進行一個查殺工具掃描，然後自己再去分析，分析完成後，玄機這個題目中讓我去找駭客連線webshell的工具，其實做到這裡的時候有種想要去給他溯源一下子的感覺，確實挺不錯的。
webshell查殺，以前都是小試牛刀的玩玩查殺，玄機這種玩法確實很刺激，確實有種真實場景下的查殺氛圍，因為他要錢啊！！
充錢玩應急是誰想出來的，這玩意兒也太刺激了吧。

應急響應-webshell查殺
2024-04-28
Webshell
玄機-第一章應急響應- Linux入侵排查
2024-07-17
Linux
玄機-第一章應急響應-Linux日誌分析
2024-07-16
Linux
玄機應急響應-第二章
2024-06-08
玄機應急響應靶場集合WP
2024-10-29
玄機-第二章日誌分析-mysql應急響應
2024-07-20
MySql
webshell應急排查方案
2021-03-29
Webshell
【應急響應】Windows應急響應入門手冊
2021-02-08
Windows
windows應急響應(二)
2024-09-21
Windows
什麼是應急響應?網路安全應急響應體系的要素！
2021-08-20
Linux應急響應排查
2020-11-26
Linux
Windows應急響應小結
2024-04-27
Windows
應急響應靶機-3
2024-03-23
應急響應靶機-4
2024-03-25
應急響應命令（Linux）
2024-07-12
Linux
5.28應急響應思路流程
2024-05-29
應急響應:日誌分析
2024-08-13
Windows應急響應-個人整理
2024-09-16
Windows
什麼是應急響應?網路安全應急響應的物件是什麼?
2021-12-14
物件
為什麼需要應急響應?網路安全應急響應需要做什麼?
2023-02-03
應急響應知識彙總
2024-06-23
Linux應急響應小結
2024-04-27
Linux
應急響應- Linux入侵排查
2024-04-28
Linux
網路安全事件應急響應
2024-05-25
事件
windows伺服器應急響應
2024-11-17
Windows伺服器
【網路安全】組織為什麼需要應急響應?應急響應需要做什麼?
2022-05-16
記一次安全應急響應事件
2020-10-15
事件
Linux應急響應（一）：SSH暴力破解
2018-08-30
Linux
應急響應工具介紹的三個系列
2009-02-27
Windows應急響應-灰鴿子遠控木馬
2024-10-01
Windows
tomcat 443埠無響應，急！！！！
2003-08-05
Tomcat
伺服器入侵應急響應排查（Linux篇）
2020-07-26
伺服器Linux
記一次挖礦病毒應急響應事件
2021-11-10
事件
X站釣魚郵件應急響應案例分析
2022-02-23
應急響應靶機訓練-Linux1
2024-03-20
Linux
應急響應靶機訓練-Linux2
2024-03-22
Linux
網路安全應急響應工作流程是什麼？
2020-12-21
【收藏】常見的網路安全應急響應工具合集！
2022-03-24

玄機-第一章 應急響應-webshell查殺

前言

簡介