【玄机】第一章 应急相应-webshell查杀

01 前置知识

常用webshell查杀工具：

1. 打包文件到本地分析
2. tar -czvf web.tar.gz ./*
5. 河马 WebShell 查杀：http://www.shellpub.com
6. D盾 WebShell 查杀：自行下载

复制代码

在线沙箱：

1. vt  https://www.virustotal.com
2. 奇安信沙箱 https://sandbox.ti.qianxin.com/sandbox/page
3. 微步云沙箱 https://s.threatbook.com/
4. 安恒云沙箱 https://sandbox.ti.qianxin.com/sandbox/page
5. 360沙箱云 https://ata.360.net/

复制代码

手工查杀：

1. 在根目录下查找所有后缀为php的文件，-iname意思是不区分大小写
2. 查找其中的恶意关键词
3. find ./ -type f -iname "*.php" |xargs egrep 'assert|bash|system|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval\(|file_put_contents|base64_decode'

复制代码

02 标题

靶机账号密码 root xjwebshell
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.黑客免杀马完整路径 md5 flag{md5}
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}

首先要先进到网页源码路径
cd /var/www/html

打包源码到当地分析

1. tar -czvf web.tar.gz ./*

复制代码

大概直接xftp大概shell工具自带的下载进行下载

下载过程中火绒已经报毒