应急响应-CTF-BUUCTF-webshell后门 1

解密PHP代码中的flag:从base64到安全扫描
最新推荐文章于 2025-09-11 14:44:25 发布
原创 最新推荐文章于 2025-09-11 14:44:25 发布 · 1.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #代码复审 #安全

本文描述了一个关于网络安全的场景,作者首先按照既定步骤在PhpStorm中处理文件,然后在hack文件夹下的upgrade/admin.php中寻找线索。经过base64解码并未发现恶意内容,随后在member目录下找到一个含有$pass变量的大马脚本,其值即为flag。最后提示可以使用全局搜索或杀毒软件来快速定位答案。

1、老规矩先看题

和之前一道题的题目基本一致

那还按那道题的思路走,下载、解压、放入PhpStorm

 

2、先看这个hack文件夹,简直明目张胆啊

大概扫了一眼子目录发现upgrade文件夹比较可疑,打开其admin.php

对其中一些部分进行base64解码,没有发现可疑内容,云沙箱也没有报毒

试一下base64解码出的字符串:flag{fg6sbehpra4co_tnd},可惜是错的,再去找

3、最后只能慢慢找了,在member目录下找到一个多功能大马

$pass的值即是flag

flag{ba8e6c6f35a53933b87148

最低0.47元/天 解锁文章
BUUCTF MISC——webshell后门
m0_74093152的博客
02-23 625
BUUCTFMISC——webshell后门
20220208--CTF MISC-- BUUCTF---base64转图片
qq_51550750的博客
02-08 1791
CTF MISC-- BUUCTF-- N种方法解决 下载解压:是一个KEY.exe应用程序文件 尝试解决: 查看本机:64位操作系统 还是无法解决,考虑目就不需要我运行这个exe文件 用编辑器打开: 是base64编码之后的结果 解码,感觉没什么收获: 仔细一看好像是图片:(提示PNG) base64居然还能转成图片? 百度一个网站:https://tool.chinaz.com/tools/imgtobase 简直太幸福了。 微信扫码: 得到flag就是:KEY{dca57f966
BUUCTF webshell后门 1
YueXuan_521的博客
11-01 2515
BUUCTF webshell后门 1 传了webshell后门,他把网站打包备份了,你能帮忙找到黑客的webshell在哪吗?(Webshell中的密码(md5)即为答案)2、第一个文件没有flag,但我们在第二个文件中找到了Webshell中的密码,密码也符合md5的格式,这个就是flag值。1、使用工具扫描附件所给的文件夹,可以使用D盾、火绒安全之类的工具,这里我使用D盾。打开D盾,点击自定义扫描,选择附件给的网站文件夹,点击确定。下载附件,解压得到一个网站文件夹。检查出两个文件,我们来挨个查看。
window应急响应
最新发布
wdnmddbl的博客
09-11 436
路漫漫其修远兮,吾将上下而求索。答应我,变得流弊!
Buuctf webshell后门
Dexret的博客
11-19 3059
下载该文件,发现该文件为一整个网站的源码 结合意,该需要我们找到该文件的webshell文件,且flag值为md5值 直接使用D盾扫描该网页源码 发现有多功能大马,和一个已知后门,打开文件所在位置,用notepad++打开该网页源码 发现一段md5的值,判断该值为该的flag值,尝试后发现能够提交 所以该的flag为 flag{ba8e6c6f35a53933b871480bb9a9545c} ...
buuctf-misc-webshell后门1
mlws1900的博客
07-25 1089
下载附件,得到一堆文件,就是网站的源代码,解压后找后门文件就行了。在文件中找到pass,也就是密码。
BUUCTF-MISC-webshell后门
2301_80480838的博客
05-11 971
利用D盾工具查杀后门,可以得到webshell后门的位置。打开文件查找密码即可得到flag。下载之后解压缩得到文件夹。
BUUCTF杂项后门查杀、webshell后门
Power的博客
02-04 1444
webshell 病毒查杀 MD5编码
玄机-第一章 应急响应-webshell查杀
本散修的一些学习心得与笔记,道友请自便。
07-15 1593
玄机-第一章 应急响应-webshell查杀 简介 靶机账号密码 root xjwebshell 1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx} 2.黑客使用的什么工具的shell github地址的md5 flag{md5} 3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx 4.黑客免杀马完整路径 md5 flag{md5}
20220215-CTF-MISC-BUUCTF-ningen--binwalk分析---dd命令分离--ARCHPR暴力破解
qq_51550750的博客
02-15 2694
MISC-BUUCTF-ningen 人类的科学日益发展,对自然的研究依然无法满足,传闻日本科学家秋明重组了基因序列,造出了名为ningen的超自然生物。某天特工小明偶然截获了日本与俄罗斯的秘密通信,文件就是一张ningen的特写,小明通过社工,知道了秋明特别讨厌中国的六位银行密码,喜欢四位数。你能找出黑暗科学家秋明的秘密么? 注意:得到的 flag 请包上 flag{} 提交 【1】下载附件是一张图片: 【2】binwalk分析: 显示有一个zip文件 尝试使用下面的dd命令分离 dd if=
应急响应-webshell查杀
网络安全
07-08 1710
玄机靶场地址:https://xj.edisec.net第一章 应急响应-webshell查杀1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx} 2.黑客使用的什么工具的shell github地址的md5 flag{md5} 3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xx...
BUUCTF webshell后门
Bnessy
03-25 641
下载附件,是网站源代码,目说有webshell,那直接拿D盾扫 查看扫出来的后门文件,找到flag
应急响应-CTF-BUUCTF-后门查杀 1
theenderofroot的博客
04-12 1730
明显的一个文件包含漏洞代码,可以GET传参自定义文件名并且自动拼接php后缀,但是没有flag。2、下载下来是一个网站源码,看来是一道代码审计,直接把文件夹放入PhpStorm中。5、那么就只能先看include文件夹了,里面还有个include.php,重点审查。4、 uploud文件夹里有个压缩包,打开看发现是一个很正常的word文档。发现$pass变量,内容好像是MD5加密字符串,包上flag试一试。3、先看web.php,这个文件的名字有点可疑。1、快速过一下目,下载压缩包。
第二届“Parloo”CTF应急响应挑战赛(应急响应目复盘)
金灰的博客
06-11 2041
免责声明:本文仅作分享!目思路贴合一线实战,总结复盘一下。(当然做归做,玩法还是很多的)
一款非常实用的CTF自动化应急响应工具
bigbangbangbang1的博客
06-11 847
当前代码的 /usr/bin 排查是基于 ubuntu + centos 的 WSL 镜像列出的 json 所以会非常不准确,建议创建一个与靶机相同镜像后,使用 DumpFileInfo.py 存储镜像,并进行替换 plugins 的 FileAnalysis.py。此项目只用于 CTF 方向的应急响应排查,切勿用于任何生产环境,功能稀少,仅仅为自用比赛的脚本,且只针对玄机应急响应平台进行测试,代码简陋仅满足个人需求,如果脚本有 bug 可以联系作者,大家也可自行修改代码。的事情了,而工作绕不开的就是。
青少年ctf平台应急响应-应急响应1
lzx13290757580的博客
05-16 479
这个选项用于指定连接到远程服务器的端口号。默认的 SSH 端口是 22,但在这个例子中,服务器配置为使用 31505 端口。在这个例子中,它是一个域名,需要通过 DNS 解析来找到对应的 IP 地址。:这是在大多数 Unix-like 系统中(包括 Linux 和 macOS)用于执行远程连接的命令行工具。在大多数 Linux 发行版中,这些文件包含了关于操作系统版本的信息,如 Ubuntu 的。:这是一个命令行工具,用于连接文件并打印到标准输出设备(通常是终端)。:这是远程服务器上的用户名。
[BUUCTF misc]webshell后门
qq_50665826的博客
07-24 1586
: 下载之后解压缩得到文件夹 利用D盾工具查杀后门,可以得到webshell后门的位置 打开文件查找密码即可得到flag flag{ba8e6c6f35a53933b871480bb9a9545c}
BUUCTF misc 专(30)webshell后门
tt_npc的博客
11-20 5372
目,又是一道后门查杀的目,下载了资源以后我们发现是一个rar的文件 解压里面的文件后打开D盾进行后门查杀 在这里找到了,并根据路径打开所在的文件夹,找到文件 根据目提示,我们在这里找到了md5 再根据md5中的pass我们可以找到pass 包上flag就是答案了 flag{ba8e6c6f35a53933b871480bb9a9545c} ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值