玄机第一章 应急响应-webshell查杀

0x01

没事干,看着P宝的文章打着玩

0x02 question

靶场

首先下载一个河马查杀和D盾,网上都有,准备好之后我们就可以开始了

现在kali里面把所有文件下载下来

1
scp -r root@52.83.185.145:/var/www/html ~/桌面/test

输入一下密码就搞到了,然后我们用河马扫描一下

1
2
3
4
5
6
7
8
sudo ./hm scan ~/桌面/test

┌──(kali㉿kali)-[~/桌面/yingji/hm]
└─$ cat result.csv
序号,类型,路径
1,PHP一句话后门-建议清理,/home/kali/桌面/test/html/shell.php
2,疑似PHP后门-建议人工确认,/home/kali/桌面/test/html/include/Db/Sqlite.php
3,疑似PHP后门-建议人工确认,/home/kali/桌面/test/html/include/Model/Spider.php

1

在这个五个后门里面找,然后在gz.php中发现flag

1

然后发现.Mysqli.php是一个典型的木马,网上搜了一下就是我们经常用的哥斯拉

1

把下载路径加密

1
2
3
https://github.com/BeichenDream/Godzilla

39392de3218c333f794befef07ac9257

免杀马我们知道是那种有替换加密等过程进行隐藏木马的很明显只有那一个

1
2
3
/var/www/html/wap/top.php

eeff2eabfd9b7a6d26fc1a53d3f7d1de

必须按顺序来,隐藏shell的话就是哥斯拉,一般是.符号开头,就是Linux中的隐藏文件

1
2
3
/var/www/html/include/Db/.Mysqli.php

C:\Users\baozhongqi\Desktop\test\html\include\Db\.Mysqli.php

就这么快?

知识

主要还是以看代码为主,因为什么隐藏shell,webshell什么的感觉都是常识

1

这里没标注的地方就是最普通的getshell了,所以自己看看也行

1

主要难理解的就是这个东西$fun[0+1&7],简单的看一下逻辑吧

当我们进行遍历时,$i 的值从 0 开始:

  • $i = 0

    • $key[0 + 1 & 7]$key[1] → 结果是 'a'
  • $i = 1

    • $key[1 + 1 & 7]$key[2] → 结果是 's'
  • $i = 2

    • $key[2 + 1 & 7]$key[3] → 结果是 's'
  • $i = 3

    • $key[3 + 1 & 7]$key[4] → 结果是 'w'
  • $i = 4

    • $key[4 + 1 & 7]$key[5] → 结果是 'o'
  • $i = 5

    • $key[5 + 1 & 7]$key[6] → 结果是 'r'
  • $i = 6

    • $key[6 + 1 & 7]$key[7] → 结果是 'd'
  • $i = 7

    • $key[7 + 1 & 7]$key[8],但 $key 只有 8 个字符,$key[8] 是不存在的。在这种情况下,通常会引发错误或未定义的行为,然而,使用 & 可以使得 $key[8] 实际上是 $key[0],也就是 'p'(密钥循环)。

这就是这次用的两个木马还是比较简单的就是这个按位运算要看看,相当于是生成了一个环形的循环

0x03 小结

挺有意思的,打的也还挺快,十几分钟