第一章
應急響應-webshell查殺
靶機賬號密碼 root xjwebshell
1.駭客webshell裡面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.駭客使用的什麼工具的shell github地址的md5 flag{md5}
3.駭客隱藏shell的完整路徑的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.駭客免殺馬完整路徑 md5 flag{md5}
看到ip之後直接用xshell連結
免費版連結https://www.xshell.com/zh/free-for-home-school/
看到連結上之後可以開始找flag了
第一個flag
可以看到提示說的第一個存放在webshell中,呢麼我們直接查詢高危函式就可
首先我們
//搜尋目錄下適配當前應用的網頁檔案,檢視內容是否有Webshell特徵
find ./ type f -name "*.jsp" | xargs grep "exec("
find ./ type f -name "*.php" | xargs grep "eval("
find ./ type f -name "*.asp" | xargs grep "execute("
find ./ type f -name "*.aspx" | xargs grep "eval("
//對於免殺Webshell,可以檢視是否使用編碼
find ./ type f -name "*.php" | xargs grep "base64_decode"
經過嘗試後發現在根目錄直接執行是行不通的
手動cd /var/www/html
之後再進行查詢
可以看到一些shell最後在gz.php中找到了flag
flag{027ccd04-5065-48b6-a32d-77c704a5e26d}
第二個flag
一眼看出哥斯拉
哥斯拉病毒是一種Java後門木馬,通常用於攻擊並控制Web伺服器。特徵就包括:
@session_start(); - 開啟一個會話。
@set_time_limit(0); - 設定指令碼執行時間為無限。
@error_reporting(0); - 關閉所有錯誤報告。
這些程式碼行主要用於隱藏病毒活動並確保其能夠長時間執行而不被發現。哥斯拉病毒通常會透過Webshell或其他漏洞注入到伺服器中,然後使用這些命令來掩蓋其存在並執行進一步的惡意操作。
找到他的網址之後進行md5
Godzilla地址:https://github.com/BeichenDream/Godzilla
flag{39392DE3218C333F794BEFEF07AC9257}
第三個flag
他說了隱藏的webshell呢麼直接用ls -la找到即可
可以得知
路徑:/var/www/html/include/Db/.Mysqli.php
md加密
flag{AEBAC0E58CD6C5FAD1695EE4D1AC1919}
第四個flag
免殺馬(免殺病毒或免殺Webshell)是指經過特殊處理和混淆,使其能夠避開防毒軟體和安全檢測工具識別的惡意軟體或後門程式。駭客使用各種技術手段,使惡意程式碼看起來像是正常程式碼,從而躲避簽名檢測和基於規則的安全機制。這種技術通常用於Webshell和其他後門程式,目的是保持對受害系統的隱蔽訪問。
我們直接去查他的日誌
cd /var/log 這裡可以看到是apache2的伺服器
cd apache2
cat access.log
可以看到有一個top.php
找到路徑md5加密一下即可
路徑:/var/www/html/wap/top.php
flag{EEFF2EABFD9B7A6D26FC1A53D3F7D1DE}
工具
首先先用xftp下載下來原始碼
之後用工具直接找
河馬
網址:https://www.shellpub.com/
可以看到上面的路徑其實已經基本都給出來了
D盾
下載網址:http://www.d99net.net/down/WebShellKill_V2.0.9.zip
其實效果差不多