玄机-第一章 应急响应-webshell查杀

已于 2024-07-18 23:30:49 修改
阅读量1.5k 收藏 27
点赞数 25
CC 4.0 BY-SA版权
分类专栏: # Linux应急响应 # 玄机靶场 文章标签: linux 网络安全 服务器
于 2024-07-15 00:29:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_60521036/article/details/140425518

文章目录

前言

作者是个垃圾,第一次玩玄机太紧张了,不知道flag是啥样找了半天,第二次开靶机多次尝试才知道格式。争取下次一次过。

简介

靶机账号密码 root xjwebshell
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.黑客免杀马完整路径 md5 flag{md5}

应急开始

准备工作

首先明确我们应急的背景:webshell查杀,查杀工具,分析webshell,找后门webshell
那我的思路就是:

  • 准备工具

    • 河马查杀(Linux/Windows版本)
    • D盾

  • 连接上Linux机子后找到对应的目录/var/www/html下,然后使用scp命令dump下来(如果你使用的是xshell这类工具的话就可以使用另外的一些辅助工具将整个目录download下来)
    命令:scp -r root@ip:/var/www/html /xxx/xxx/xxx
    在这里插入图片描述然后将目录导出来,使用河马和D盾都扫一遍
    提示:我扫描后检查了一遍河马的意思后门,没啥发现可疑的点,所以我后面就都选择看D盾扫描出来的文件了。

  • 使用河马查杀
    在这里插入图片描述

  • 使用D盾
    在这里插入图片描述

步骤 1

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}

这里就是我第一次玩玄机的一个坑,我将所有webshell都看了一遍好像都没找到哪个长得像flag(其实就是自己菜),然后我就去找其他目录下了,发现后面30分钟到了,只能被迫开启第二次。
第二次看的时候看了别人的writeup后发现,原来就在扫描到的webshell中有,那么我就重新找一下。

  • 全部重新打开一遍扫到的webshell后,发现两个长得一样,但是除了一个数据,那就尝试一下是否是flag。
    提交后发现正确,那接下来的路就好走了。
    flag{027ccd04-5065-48b6-a32d-77c704a5e26d} 在这里插入图片描述

步骤 2

2.黑客使用的什么工具的shell github地址的md5 flag{md5}S

玩过ctf,看misc流量包的人都挺敏感的,看到一串MD5值,一看就是某个shell连接工具的默认连接密码,google一搜,出来的是哥斯拉和冰蝎两个。
挑了几篇文章看发现这个就是哥斯拉的默认连接密码
在这里插入图片描述
再者,webshell中前几代码就是哥斯拉的固定特征代码
在这里插入图片描述

在这里插入图片描述

步骤 3

3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx

隐藏shell一般是.符号开头,就是Linux中的隐藏文件,我们的D盾已经扫描出来了,就是 .Mysqli.php

找到该文件的路径进行MD5即为flag
flag{aebac0e58cd6c5fad1695ee4d1ac1919}

步骤 4

4.黑客免杀马完整路径 md5 flag{md5}

免杀马,要么做编码处理要么做变量嵌套要么函数调用要么类调用等等
这里分析后确认就是top.php,其他都是webshell连接的固定webshell,只有这个是经过免杀处理的。
找到该文件路径进行MD5即为flag
flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}
在这里插入图片描述

总结

成果
flag{027ccd04-5065-48b6-a32d-77c704a5e26d}

https://github.com/BeichenDream/Godzilla)
flag{39392de3218c333f794befef07ac9257}

/var/www/html/include/Db/.Mysqli.php
flag{aebac0e58cd6c5fad1695ee4d1ac1919}

/var/www/html/wap/top.php
flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}

做完后这个webshell查杀思路更加清晰了,可以直接dump出来疑似存在webshell的文件,进行一个查杀工具扫描,然后自己再去分析,分析完成后,玄机这个题目中让我去找黑客连接webshell的工具,其实做到这里的时候有种想要去给他溯源一下子的感觉,确实挺不错的。
webshell查杀,以前都是小试牛刀的玩玩查杀,玄机这种玩法确实很刺激,确实有种真实场景下的查杀氛围,因为他要钱啊!!
充钱玩应急是谁想出来的,这玩意儿也太刺激了吧。

Webshell河马后门查杀工具配合shell脚本实现多站点自动化查杀
醉世老翁的博客
08-07 3228
河马官网https://www.shellpub.com/ 河马工具查杀的步骤特别简单 下载,解压,开始扫描,参考官网教程https://www.shellpub.com/doc/hm_linux_usage.html 扫描出来的结果都会保存在hm文件的同级目录result.csv中,扫描出来的结果是这样的 第一行是固定的,序号,类型,路径,如果有可疑或者木马文件,会生成一个result.csv 如果没有则不会生成,再次执行,会覆盖上次的result.csv结果 需要注意的是,这个工具需要联..
玄机——第一章 应急响应-webshell查杀 wp(手把手保姆级教学)
热门推荐
焦虑的焦虑
06-07 1万+
第一章 应急响应-webshell查杀 wp
玄机-----应急响应
m0_63138919的博客
05-13 6533
玄机应急响应 题解 一起学习
懵懂小白第一次玩应急响应--玄机靶场
最新发布
Crazy_Stone_liu的博客
06-04 928
突然想练练应急响应靶场,然后就想起来挺火的玄机靶场,还是好久之前注册的号了。第一次玩肯定是从最简单的来了,so我们就从第一关开始。废话不多说我们正式开始。 玄机靶场网址:https://xj.edisec.net/没有的可以进官方的群,里面可以获取邀请码,群号:647224830我们先看一下是要我们做什么: 靶机账号密码 root xjwebshell 1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx} 2.黑客使用的什么工具的shell g
Linux环境下webshell查杀(河马工具使用)
xiaohuai0444167的博客
01-30 2661
河马webshell查杀推荐您使用XShell作为ssh客户端,XShell有面向个人学校、教育的免费版本
webshell后门自查--河马webshel工具介绍
tootsy_you的博客
06-12 1470
Java Web 是很多大型厂商的选择,也正是因为如此,Java Web 的安全问题日益得到重视,JSP Webshell 就是其中之一。最著名的莫过于 PHP 的各种奇思妙想的后门,但与 PHP 不同的是,Java 是强类型语言,语言特性较为严格,不能够像 PHP 那 样利用字符串组合当作系统函数使用,但即便如此,随着安全人员的进一步研究, 依旧出现了很多奇思妙想的 JSP Webshell。如果系统有java webshell被不法分子利用,很容易造成事故。
玄机平台应急响应webshell查杀
2301_76227305的博客
05-28 3587
以上就是常见的webshell排查手段,至于内存马的排查,那个属于高端的东西没有那么简单滴。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
[ 应急响应工具箱 ] Webshell查杀.rar
02-11
[ 应急响应工具箱 ] webshell查杀工具 包含如下文件 Sangfor_Webshell查杀工具 火绒剑独立版 v2021.06.01 d_safe_2.1.7.2_0107 sysdiag-full-5.0.73.1-2023.02.06.1 火绒剑独立版 v2021.06.01
玄机第一章 应急响应-Linux日志分析
qq_46343633的博客
06-04 1931
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用",“分割2.ssh爆破成功登陆的IP是多少,如果有多个使用”,“分割3.爆破用户名字典是什么?如果有多个使用”,"分割4.登陆成功的IP共爆破了多少次5.黑客登陆主机后新建了一个后门用户,用户名是多少这次靶场是用来确定攻击者的相关信息,以便于后期的溯源和编写应急响应报告。
webshell查杀——玄机靶场
weixin_47472573的博客
11-10 1085
玄机靶场webshell查杀
河马 webshell扫描器 for Linux 使用
流浪法师的博客
02-10 5164
针对Linux系统的webshell查杀工具,使用简单,功能强大。
玄机应急响应-Linux日志分析
qq_40923603的博客
02-23 4994
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割。2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割。3.爆破用户名字典是什么?如果有多个使用","分割。5.黑客登陆主机后新建了一个后门用户,用户名是多少。4.登陆成功的IP共爆破了多少次。
[玄机-应急响应平台] 流量特征分析-蚁剑流量分析
m0_73649671的博客
04-17 1308
流量特征分析-蚁剑流量分析
玄机】常见攻击事件分析--钓鱼邮件(1),做了6年的网络安全
2401_84240554的博客
04-11 1451
1.请分析获取黑客发送钓鱼邮件时使用的IP,flag格式: flag{11.22.33.44}2.请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP,flag格式:flag{11.22.33.44}3.黑客在被控服务器上创建了webshell,请分析获取webshell的文件名,请使用完整文件格式,flag格式:flag{/var/www/html/shell.php}
Linux 河马webshell扫描器安装/简单使用
m0_66574109的博客
03-12 2142
Linux 河马webshell扫描器安装/简单使用
玄机-Wordpress-应急响应-WP_玄机应急响应网络安全研发岗面试复盘总
2401_84301389的博客
04-11 1902
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Webshell 网络安全应急响应
hackDZ的博客
08-18 2953
webshell 应急操作流程(细)
玄机平台应急响应—MySQL应急
2301_76227305的博客
06-15 649
这个是比较简单的,其实和MySQL没啥太大的关系,没涉及太多MySQL的知识。看一下它的flag要求吧。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
河马查询webshell
03-14
### 关于河马查询 WebShell 工具 河马 WebShell 查杀工具是一种高效的恶意脚本检测工具,其核心功能基于海量的 WebShell 样本库和自主开发的技术实现[^1]。该工具采用了 **传统特征匹配** 和 **云端大数据分析** 的双引擎机制来提升查杀效率和准确性。以下是关于河马 WebShell 工具的一些具体信息: #### 功能特点 - **多平台支持**: 河马 WebShell 工具适用于多种操作系统环境,包括但不限于 Windows 和 Linux 平台[^2]。 - **高效查杀**: 基于本地特征数据库与云端实时更新相结合的方式,能够快速识别已知类型的 WebShell 文件。 - **自定义扩展**: 用户可以手动添加新的威胁特征码至工具配置中,从而增强对新型变种攻击形式的支持能力[^4]。 #### 使用说明 为了更好地理解和操作此款软件产品,在实际部署前需完成以下几个方面的准备工作: 1. 下载官方发布的最新版本安装包并按照提示完成初始化设置过程; 2. 配置目标站点路径参数以便程序能正确访问待扫描资源目录结构; 3. 执行全盘深度检索命令启动自动化处理流程直至结束为止。 下面给出一段简单的 Python 脚本来演示如何调用此类第三方 API 接口来进行批量文件筛查工作: ```python import os from hashlib import md5 def scan_directory(path, rules): results = [] for root, _, files in os.walk(path): for file_name in files: full_path = os.path.join(root, file_name) with open(full_path, 'rb') as f: content = f.read() hash_value = md5(content).hexdigest() if any(rule.match(hash_value) for rule in rules): # Assuming `rules` is a list of regex patterns. results.append({ "file": full_path, "hash": hash_value }) return results if __name__ == "__main__": target_dir = "/var/www/html" custom_rules = [...] # Define your own signature-based detection logic here. findings = scan_directory(target_dir, custom_rules) print(findings) ``` 上述代码片段仅作为一个基础框架供参考学习之用,请根据实际情况调整逻辑细节部分以满足特定需求场景下的应用要求。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

竹等寒

谢过道友支持,在下就却之不恭了

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值