玄机响应 第一章 应急响应-webshell查杀

前言

任务

1.黑客webshell里面的flag

今天某银*证券众测交的洞全重复 遂破防 过来玩靶场

跟着第一章走一遍

黑客webshell里面的flag

cat 第一个webshell就可以发现隐藏的flag

2.黑客使用的什么工具的shell github地址的md5

一眼哥斯拉 但是还是搜一下

https://github.com/BeichenDream/Godzilla
https://github.com/BeichenDream/Godzilla
https://github.com/BeichenDream/Godzilla

加密一下即可

3.黑客隐藏shell的完整路径的md5

ls -al查看.php 隐藏信息

第一时间要进入 webshell目录进行查询

提交即可

/var/www/html/include/Db/.Mysqli.php
/var/www/html/include/Db/.Mysqli.php
/var/www/html/include/Db/.Mysqli.php

黑客免杀马完整路径

引用CSDN大佬

黑客免杀马完整路径 md5 flag{md5}
什么是免杀马？

免杀马（免杀病毒或免杀Webshell）是指经过特殊处理和混淆，使其能够避开杀毒软件和安全检测工具识别的恶意软件或后门程序。黑客使用各种技术手段，使恶意代码看起来像是正常代码，从而躲避签名检测和基于规则的安全机制。这种技术通常用于Webshell和其他后门程序，目的是保持对受害系统的隐蔽访问。

常见的免杀技术；

代码混淆：

使用混淆工具或手动混淆代码，使其难以被直接阅读和分析。
编码和加密：

使用Base64、ROT13等编码方式或更复杂的加密技术隐藏恶意代码片段。
动态生成和执行：

通过动态生成代码并在运行时执行，绕过静态分析。例如，使用 eval()、create_function() 等PHP函数。
多层解码：

多层编码或加密，增加分析和检测的难度。
使用合法函数：

恶意代码嵌入到看似合法的代码中，利用正常的函数调用执行恶意操作。
查找和处理免杀马的方法；

文件完整性检查：

比较当前文件与已知的良性备份文件，发现被修改或新增的文件。
代码审查：

手动检查可疑文件，寻找混淆、编码、加密和动态执行的代码模式。
安全扫描工具：

使用高级安全扫描工具，这些工具使用行为分析和机器学习来检测潜在的免杀马。
日志分析：

查看服务器访问日志和错误日志，寻找异常访问和执行模式。
检查文件修改时间，与正常更新周期不符的文件可能是可疑的。
基于特征的检测：

使用YARA规则等特征检测工具，根据已知的免杀马特征进行扫描。
总结：免杀马通过静态检测是检测不到的，因为在免杀的过程中将webshel的特征值以及特征函数都给去掉了，因为webshell执行会在网站日志留下记录，那我们就到网站日志里面看看有啥可疑的记录，这里也顺便说一下linux的日志存放在/var/log目录下。

这里我们总结一下常见网站日志的路径：

IIS（Internet Information Services）

IIS是Windows上的默认Web服务器，其日志文件默认存储在以下路径：

IIS 6.0 及更早版本：

C:\WINDOWS\system32\LogFiles\W3SVC[SiteID]\

IIS 7.0 及更高版本：

C:\inetpub\logs\LogFiles\W3SVC[SiteID]\

其中，[SiteID] 是网站的标识符，通常是一个数字。

Apache HTTP Server

如果在Windows上安装了Apache，日志文件默认存储在安装目录下的logs文件夹中：

C:\Program Files (x86)\Apache Group\Apache2\logs\

或者

C:\Program Files\Apache Group\Apache2\logs\

具体路径取决于安装时选择的位置。

Linux系统中的网站日志路径

Apache HTTP Server

在Linux上，Apache日志文件通常位于以下目录：

访问日志：

/var/log/apache2/access.log

或者

/var/log/httpd/access_log

错误日志：

/var/log/apache2/error.log

或

/var/log/httpd/error_log

不同的Linux发行版可能有不同的目录。例如，在Debian/Ubuntu上通常使用/var/log/apache2/，而在Red Hat/CentOS上通常使用/var/log/httpd/。

Nginx

Nginx是另一个流行的Web服务器，默认的日志文件路径如下：

访问日志：

/var/log/nginx/access.log

错误日志：

/var/log/nginx/error.log

如何查看和分析日志文件？

Windows：

使用文本编辑器（如Notepad、Notepad++）直接打开日志文件查看。
可以使用IIS管理器查看IIS日志。
Linux：

使用命令行工具查看日志，例如：

tail -f /var/log/apache2/access.log tail -f /var/log/nginx/access.log

可以使用日志分析工具（如GoAccess、AWStats）生成可视化的日志报告。

既然它经过了免杀处理，那么木马的特征值以及特征函数应该都是被去掉了。这时我们再通过静态检测是基本检测不到的，从上面我们就可以看出我们只找到了三个马。而且上面我们说了webshell执行会在网站日志留下记录，那我们就到网站日志里面看看有啥可疑的记录。

混淆的webshell木马

/var/www/html/wap/top.php
/var/www/html/wap/top.php
/var/www/html/wap/top.php

提交即可

------本文已结束，感谢您的阅读------