【玄机】第一章 应急相应-webshell查杀
01 前置知识常用webshell查杀工具:
打包文件到本地分析
tar -czvf web.tar.gz ./*
河马 WebShell 查杀:http://www.shellpub.com
D盾 WebShell 查杀:自行下载
在线沙箱:
vthttps://www.virustotal.com
奇安信沙箱 https://sandbox.ti.qianxin.com/sandbox/page
微步云沙箱 https://s.threatbook.com/
安恒云沙箱 https://sandbox.ti.qianxin.com/sandbox/page
360沙箱云 https://ata.360.net/
手工查杀:
在根目录下查找所有后缀为php的文件,-iname意思是不区分大小写
查找其中的恶意关键词
find ./ -type f -iname "*.php" |xargs egrep 'assert|bash|system|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval\(|file_put_contents|base64_decode'
02 标题
靶机账号密码 root xjwebshell
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.黑客免杀马完整路径 md5 flag{md5}
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
首先要先进到网页源码路径
cd /var/www/html
https://i-blog.csdnimg.cn/direct/6b1a995ee2ab4e7f91abfa9579aa6edf.webp
打包源码到当地分析
tar -czvf web.tar.gz ./*
大概直接xftp大概shell工具自带的下载进行下载
https://i-blog.csdnimg.cn/direct/2ca9199a3e194349bb8fa7e8f034d3bf.webp
下载过程中火绒已经报毒
页:
[1]