玄机-第一章 应急响应-webshell查杀

1.题目

2.解题步骤

启动靶机,用远程连接工具输入靶机ip用户和密码连接到靶机

2.1

黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}

find . -name "*.php" | xargs grep "eval(" #查找当前目录及其子目录下所有.php文件中包含eval()函数的行

cd /var/www/html/include #切换到所查找的目录下

cat gz.php #查看gz.php文件

发现php文件内有一串字符串即为flag

flag{027ccd04-5065-48b6-a32d-77c704a5e26d}

2.2

黑客使用的什么工具的shell github地址的md5 flag{md5}

用gz.php文件中的几行代码

在浏览器中搜索,匹配到哥斯拉php马

哥斯拉常见特定函数和代码模式

@session_start():用于创建或重启一个会话,这是 PHP 木马中常见的功能,用于存储攻击载荷或状态信息。

@set_time_limit(0):设置脚本执行时间为无限制,确保木马能够持续运行。

@error_reporting(0):关闭错误报告,防止在执行恶意代码时暴露错误信息。

eval()、assert():这些函数用于执行字符串作为 PHP 代码,是 PHP 木马中常见的执行恶意代码的方式。

在githup中查找哥斯拉,得到网址

用md5在线网站对网址进行32位md5加密即为flag

flag{39392de3218c333f794befef07ac9257}

2.3

黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx

用D盾查杀或用ls -l 和ls -al,发现含有隐藏文件.Mysaqli.php

用在线网站转化为md5值

flag{AEBACOE58CD6C5FAD1695EE4D1AC1919}

2.4

黑客免杀马完整路径 md5 flag{md5}

PHP 免杀马通常为字符串异或加密、Base 加密、rot13加密、字符串拼接等

find ./ -name "*.php" | xargs grep "base64" #在当前目录下查找base64

md5加密得到

flag{EEFF2EABFD9B7A6D26FC1A53D3F7D1DE}

相关推荐
超防局3 小时前
网络安全渗透测试常用工具详解
网络·安全·web安全
其实防守也摸鱼8 小时前
运维--ip单日获取去重数据量超过500条
运维·学习·tcp/ip·安全·web安全·安全威胁分析·工具
云水一下1 天前
零基础玩转 bWAPP 靶场(五):HTML 注入——存储型(博客)
web安全·html·bwapp·存储型注入
Chockmans1 天前
春秋云境CVE-2023-51385(保姆级教学)
大数据·web安全·elasticsearch·搜索引擎·网络安全·春秋云境·cve-2023-51385
Lucky_5566881 天前
山东政务信息化项目验收:软件合规测试筑牢交付关键防线
功能测试·安全·web安全·信息与通信·政务
小小小小钰儿2 天前
网络安全名词术语!
安全·web安全·计算机·网络安全·黑客·编程
NOVAnet20232 天前
SASE 架构如何为本地 DeepSeek 大模型提供全域网络安全支撑
web安全·安全架构·sd-wan·sase·零信任访问
NOVAnet20233 天前
云网 + 存储一体化灾备方案解析:南凌科技 × 爱数全景云灾备技术与行业落地价值
科技·web安全·企业数字化·企业sd-wan·混合云网络
数据知道3 天前
网络安全职业规划:从入门到高级安全工程师的路径图
安全·web安全·网络安全·渗透测试·职业规划
Gyr03 天前
关于证书站捡洞这一档事
安全·web安全