LOADING

加载过慢请开启缓存 浏览器默认开启

玄机--第一章--webshell查杀

2024/11/13 -应急响应 -玄机

[TOC]

[玄机]第一章 应急响应

webshell查杀

#我这里使用Tabby Terminal进行远程连接

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}

分析webshell可以利用在线工具 也可以手敲命令

①.在线工具 我这里用的有D盾和微步云沙箱(https://s.threatbook.com/)

Tabby连接后直接把 var/www/html 下的全部文件拉出来

或者

使用命令

scp -r root@ip:/var/www/html ~/桌面/yingji

放入网页分析即可

②.列出几个常用的分析命令

find ./ type f -name “.jsp” | xargs grep “exec(“
find ./ type f -name “.php” | xargs grep “eval(“
find ./ type f -name “.asp” | xargs grep “execute(“
find ./ type f -name “.aspx” | xargs grep “eval(“

find ./ -type f 就是查找当前目录及其子目录中的所有普通文件(即不是目录、设备文件等)

xargs 的作用是接收 find 命令返回的文件路径列表,并将它们传递给 grep 命令进行处理

| xargs grep "eval(":将查找到的每个 .php 文件传递给 grep 命令,查找文件中是否包含 eval( 关键字

这里用find ./ type f -name “*.php” | xargs grep “eval(“

可以看到三个文件

2.黑客使用的什么工具的shell github地址的md5 flag{md5}

查看gz.php的代码特征

明显的哥斯拉特征 https://github.com/BeichenDream/Godzilla

再MD5加密即可

3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx

既然说是隐藏了

这里要用ls -al才能看到文件名

在include/Db 目录下找到隐藏的文件

root@ip-10-0-10-3:/var/www/html/include/Db# ls -la
total 36
drwxr-xr-x 2 www-data www-data 4096 Aug 2 2023 .
drwxr-xr-x 4 www-data www-data 4096 Aug 2 2023 ..
-rw-r–r– 1 www-data www-data 768 Aug 2 2023 .Mysqli.php
-rwxr-xr-x 1 www-data www-data 4752 Mar 14 2021 Mysqli.php
-rwxr-xr-x 1 www-data www-data 4921 Mar 14 2021 Mysql.php
-rwxr-xr-x 1 www-data www-data 4433 Mar 14 2021 Sqlite.php

pwd查看当前目录

/var/www/html/include/Db/.Mysqli.php

md5加密即可

4.黑客免杀马完整路径 md5 flag{md5}

免杀马 我们正常扫描扫不到

这种情况我们就要访问日志 在日志中看是否有可疑的地方

cd var/log
cd apache2
cat access.log

目录:/wap/top.php

完整路径为:/var/www/html/wap/top.php

websehll代码特征

1.php危险函数

eval() system() exec() shell_exec() passthru() (命令执行)

fopen() fwrite() file_get_contents() file_put_contents() (文件操作)

fsockopen() curl_exec() file_get_contents(‘http://…’) (网络操作)

2.ASP,JSP

ASP:Execute() Eval() CreateObject() (命令执行)

JSP:Runtime.getRuntime().exec() (命令执行)

ASP:FileSystemObject() (文件操作)

ASP:WinHttp.WinHttpRequest (网络操作)

3.编码和解码

常见的编解码函数

常见网站日志的命令(默认路径)

一.IIS(windows默认服务器)

IIS6.0及更早版本:

C:\WINDOWS\system32\LogFiles\W3SVC[SiteID]\

IIS7.0及更高版本:

C:\inetpub\logs\LogFiles\W3SVC[SiteID]\

二.Apache(Windows)

如果在Windows上安装了Apache,日志文件默认存储在安装目录下的logs文件夹中:

C:\Program Files (x86)\Apache Group\Apache2\logs\

or

C:\Program Files\Apache Group\Apache2\logs\

三.Apache(Linux)

正常访问日志:

/var/log/apache2/access.log 或者 /var/log/httpd/access_log

错误日志:

/var/log/apache2/error.log 或者 /var/log/httpd/error_log

在Debian/Ubuntu上通常使用/var/log/apache2/,而在Red Hat/CentOS上通常使用/var/log/httpd/

四.Nginx

正常访问日志:

/var/log/nginx/access.log

错误日志:

/var/log/nginx/error.log