前言
任务
![图片[1],玄机响应 第一章 应急响应-webshell查杀,网络安全爱好者中心-神域博客网](https://img.godyu.com/2025/04/20250407091028387.png?imageView2/0/format/webp/q/75)
1.黑客webshell里面的flag
今天某银*证券众测交的洞全重复 遂破防 过来玩靶场
跟着第一章走一遍
![图片[2],玄机响应 第一章 应急响应-webshell查杀,网络安全爱好者中心-神域博客网](https://img.godyu.com/2025/04/20250407091017620.png?imageView2/0/format/webp/q/75)
黑客webshell里面的flag
cat 第一个webshell就可以发现隐藏的flag
![图片[3],玄机响应 第一章 应急响应-webshell查杀,网络安全爱好者中心-神域博客网](https://img.godyu.com/2025/04/20250407091233138.png?imageView2/0/format/webp/q/75)
2.黑客使用的什么工具的shell github地址的md5
一眼哥斯拉 但是还是搜一下
![图片[4],玄机响应 第一章 应急响应-webshell查杀,网络安全爱好者中心-神域博客网](https://img.godyu.com/2025/04/20250407091534924.png?imageView2/0/format/webp/q/75)
https://github.com/BeichenDream/Godzilla![图片[5],玄机响应 第一章 应急响应-webshell查杀,网络安全爱好者中心-神域博客网](https://img.godyu.com/2025/04/20250407091844185.png?imageView2/0/format/webp/q/75)
加密一下即可
3.黑客隐藏shell的完整路径的md5
ls -al查看.php 隐藏信息
第一时间要进入 webshell目录进行查询
![图片[6],玄机响应 第一章 应急响应-webshell查杀,网络安全爱好者中心-神域博客网](https://img.godyu.com/2025/04/20250407092058254.png?imageView2/0/format/webp/q/75)
提交即可
/var/www/html/include/Db/.Mysqli.php![图片[7],玄机响应 第一章 应急响应-webshell查杀,网络安全爱好者中心-神域博客网](https://img.godyu.com/2025/04/20250407092417608.png?imageView2/0/format/webp/q/75)
黑客免杀马完整路径
引用CSDN大佬
黑客免杀马完整路径 md5 flag{md5}
什么是免杀马?
免杀马(免杀病毒或免杀Webshell)是指经过特殊处理和混淆,使其能够避开杀毒软件和安全检测工具识别的恶意软件或后门程序。黑客使用各种技术手段,使恶意代码看起来像是正常代码,从而躲避签名检测和基于规则的安全机制。这种技术通常用于Webshell和其他后门程序,目的是保持对受害系统的隐蔽访问。
常见的免杀技术;
代码混淆:
使用混淆工具或手动混淆代码,使其难以被直接阅读和分析。
编码和加密:
使用Base64、ROT13等编码方式或更复杂的加密技术隐藏恶意代码片段。
动态生成和执行:
通过动态生成代码并在运行时执行,绕过静态分析。例如,使用 eval()、create_function() 等PHP函数。
多层解码:
多层编码或加密,增加分析和检测的难度。
使用合法函数:
恶意代码嵌入到看似合法的代码中,利用正常的函数调用执行恶意操作。
查找和处理免杀马的方法;
文件完整性检查:
比较当前文件与已知的良性备份文件,发现被修改或新增的文件。
代码审查:
手动检查可疑文件,寻找混淆、编码、加密和动态执行的代码模式。
安全扫描工具:
使用高级安全扫描工具,这些工具使用行为分析和机器学习来检测潜在的免杀马。
日志分析:
查看服务器访问日志和错误日志,寻找异常访问和执行模式。
检查文件修改时间,与正常更新周期不符的文件可能是可疑的。
基于特征的检测:
使用YARA规则等特征检测工具,根据已知的免杀马特征进行扫描。
总结:免杀马通过静态检测是检测不到的,因为在免杀的过程中将webshel的特征值以及特征函数都给去掉了,因为webshell执行会在网站日志留下记录,那我们就到网站日志里面看看有啥可疑的记录,这里也顺便说一下linux的日志存放在/var/log目录下。
这里我们总结一下常见网站日志的路径:
IIS(Internet Information Services)
IIS是Windows上的默认Web服务器,其日志文件默认存储在以下路径:
IIS 6.0 及更早版本:
C:\WINDOWS\system32\LogFiles\W3SVC[SiteID]\
IIS 7.0 及更高版本:
C:\inetpub\logs\LogFiles\W3SVC[SiteID]\
其中,[SiteID] 是网站的标识符,通常是一个数字。
Apache HTTP Server
如果在Windows上安装了Apache,日志文件默认存储在安装目录下的logs文件夹中:
C:\Program Files (x86)\Apache Group\Apache2\logs\
或者
C:\Program Files\Apache Group\Apache2\logs\
具体路径取决于安装时选择的位置。
Linux系统中的网站日志路径
Apache HTTP Server
在Linux上,Apache日志文件通常位于以下目录:
访问日志:
/var/log/apache2/access.log
或者
/var/log/httpd/access_log
错误日志:
/var/log/apache2/error.log
或
/var/log/httpd/error_log
不同的Linux发行版可能有不同的目录。例如,在Debian/Ubuntu上通常使用/var/log/apache2/,而在Red Hat/CentOS上通常使用/var/log/httpd/。
Nginx
Nginx是另一个流行的Web服务器,默认的日志文件路径如下:
访问日志:
/var/log/nginx/access.log
错误日志:
/var/log/nginx/error.log
如何查看和分析日志文件?
Windows:
使用文本编辑器(如Notepad、Notepad++)直接打开日志文件查看。
可以使用IIS管理器查看IIS日志。
Linux:
使用命令行工具查看日志,例如:
tail -f /var/log/apache2/access.log tail -f /var/log/nginx/access.log
可以使用日志分析工具(如GoAccess、AWStats)生成可视化的日志报告。
既然它经过了免杀处理,那么木马的特征值以及特征函数应该都是被去掉了。这时我们再通过静态检测是基本检测不到的,从上面我们就可以看出我们只找到了三个马。而且上面我们说了webshell执行会在网站日志留下记录,那我们就到网站日志里面看看有啥可疑的记录。
![图片[8],玄机响应 第一章 应急响应-webshell查杀,网络安全爱好者中心-神域博客网](https://img.godyu.com/2025/04/20250407092959725.png?imageView2/0/format/webp/q/75)
混淆的webshell木马
![图片[9],玄机响应 第一章 应急响应-webshell查杀,网络安全爱好者中心-神域博客网](https://img.godyu.com/2025/04/20250407093112975.png?imageView2/0/format/webp/q/75)
/var/www/html/wap/top.php提交即可
![[LitCTF]cha0s-Writeup,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/06/20240602034759133.png)
![[HGAME]2024 WEEK1 writeup笔记,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/02/20240201194241296.png)
![[5.20]从抖音信息收集到微信小程序sessionkey泄露伪造登录渗透某edu站,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240520143248539.jpg)
![[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522095651301.png)
暂无评论内容