靶場連接
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
使用命令查找特殊文件
//搜索目錄下適配當前應用的網頁文件,查看內容是否有Webshell特征
find ./ type f -name "*.jsp" -exec grep -l "exec(" {} \;
find ./ type f -name "*.php" -exec grep -l "eval(" {} \;
find ./ type f -name "*.asp" -exec grep -l "execute(" {} \;
find ./ type f -name "*.aspx" -exec grep -l "eval(" {} \;
、
//對于免殺Webshell,可以查看是否使用編碼
find ./ type f -name "*.php" | xargs grep "base64_decode"
find ./ -type f -name "*.php" -exec grep -l "eval(" {} \;
依次查看文件最終在gz.php文件中獲取flag
flag
flag{027ccd04-5065-48b6-a32d-77c704a5e26d}2.黑客使用的什么工具的shell github地址的md5 flag{md5}
會話初始化和環境偽裝
@session_start();
@set_time_limit(0);
@error_reporting(0);
**@session_start()**:通過會話(Session)存儲加密后的Payload,實現跨請求的持久化攻擊。
**@set_time_limit(0)**:取消腳本執行時間限制,確保長時間駐留。
**@error_reporting(0)**:禁用錯誤報告,避免暴露異常信息,增強隱蔽性。動態Payload加載機制
$payloadName='payload';
$key='3c6e0b8a9c15224a';
$data=file_get_contents("php://input");
**硬編碼密鑰 $key**:哥斯拉默認使用固定密鑰(如3c6e0b8a9c15224a)進行流量加密。
**原始輸入流 php://input**:直接讀取HTTP請求體(而非$_POST),規避常規WAF檢測。
Payload分階段傳輸:
首次請求包含getBasicsInfo標記時,將加密的Payload存入$_SESSION(用于后續攻擊)。
后續請求通過eval($payload)動態執行Session中的惡意代碼。據此推斷出該webshell特征屬于哥斯拉
https://github.com/BeichenDream/Godzillaflag
flag{39392DE3218C333F794BEFEF07AC9257}3.黑客隱藏shell的完整路徑的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
查找隱藏shell使用命令ls -al
找到疑似文件查看文件內容,確定隱藏文件路徑
/var/www/html/include/Db/.Mysqli.phpflag
flag{aebac0e58cd6c5fad1695ee4d1ac1919}4.黑客免殺馬完整路徑 md5 flag{md5}
將access.log文件放入kali分析
提取日志中的url文件
awk '{print $7}' access.log | grep '\.php' | sed 's/.*\///; s/?.*//' | sort | uniq -c | sort -nr
提取文件路徑
awk '{print $7}' access.log | grep '\.php'
逐個查找文件定位到免殺馬
免殺技術 | 應用方式 | 目的 |
Base64編碼 | 對 參數進行Base64解碼 | 隱藏原始惡意指令,避免明文傳輸被WAF或IDS規則直接匹配。 |
異或(XOR)加密 | 用密鑰 對解碼后的字符串進行循環異或運算 | 進一步加密真實載荷,改變代碼特征,破壞靜態特征碼。 |
動態函數名構造 | 拼接字符串 (如拼接 得到 ) | 避免敏感函數名(如 , )直接出現在代碼中,規避關鍵字檢測。 |
flag
flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}
)
)
)
