第一章 应急响应-webshell查杀

ssh root@52.82.59.xxx
靶机账号密码 root xjwebshell
知识点: 工具查杀webshell (比较简单)

1.黑客webshell里面的flag

➜  tar cf www.tar /var/www/
# 先给www目录压缩了下载下来直接河马在线查杀发现以下几个可疑文件
/html/api.php
/html/include/Db/.Mysqli.php
/html/include/gz.php
/html/shell.php
/html/wap/top.php
# 直接vscode打开www目录, 全局正则匹配flag的格式:
.{8}-.{4}-.{4}-.{4}-.{12}
在gz.php中匹配到结果 //027ccd04-5065-48b6-a32d-77c704a5e26d

flag{027ccd04-5065-48b6-a32d-77c704a5e26d}

2.黑客使用的什么工具的shell github地址的md5

# 一眼哥斯拉秒了
github地址:
https://github.com/BeichenDream/Godzilla
md5: 39392de3218c333f794befef07ac9257

flag{39392de3218c333f794befef07ac9257}

3.黑客隐藏shell的完整路径的md5

# 隐藏shell, 前面河马扫出来一个为隐藏文件
/html/include/Db/.Mysqli.php
# 完整路径为
/var/www/html/include/Db/.Mysqli.php
md5: aebac0e58cd6c5fad1695ee4d1ac1919

flag{aebac0e58cd6c5fad1695ee4d1ac1919}

4.黑客免杀马完整路径 md5

# 其实本来这一问应该是免杀了webshell查杀查不出来, 然后去中间件翻web日志看哪个文件执行了指令, 
# 但是在第一问的时候确实被河马杀出来了, 用的basebase和异或加字符拼接的免杀, 确实过时了。
/html/wap/top.php
# 完整路径为
/var/www/html/wap/top.php
md5: eeff2eabfd9b7a6d26fc1a53d3f7d1de

flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}
posted @ 2024-07-30 10:39  Fxe0_0  阅读(11)  评论(0编辑  收藏  举报