玄机 |
您所在的位置:网站首页 › 木马查杀方式有快速查杀吗 › 玄机 |
玄机
|
文章目录
一、前言二、常规后门查杀1、手动排查webshell2、工具排查webshell
三、概览简介
四、参考文章五、步骤(解析)准备工作#1.0步骤#1.1黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
步骤#1.2黑客使用的什么工具的shell github地址的md5 flag{md5}
步骤#1.3黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
步骤#1.4黑客免杀马完整路径 md5 flag{md5}
六、拓展:工具排查webshell
一、前言
什么是WebShell应急响应? 简单官方一点:WebShell应急响应是指在检测到WebShell(恶意Web脚本)攻击后,采取一系列措施来控制、消除威胁,并恢复受影响的系统和服务。WebShell是一种常见的攻击手段,攻击者通过上传或注入恶意脚本到Web服务器上,从而获得对服务器的远程控制权限,而我们需要做的就是找到问题所在根源并且解决掉它。 当然也是很开心收到了师傅们给的玄机注册邀请码,马上注册就直奔应急响应例题。 玄机平台链接 注册需要邀请码,评论区留言看到就送。 二、常规后门查杀 1、手动排查webshell1.1、静态检测 我们可以查找一些特殊后缀结尾的文件。例如:.asp、.php、.jsp、.aspx。 然后再从这类文件中查找后门的特征码,特征值,危险函数来查找webshell,例如查找内容含有exec()、eval()、system()的文件。 优点:快速方便,对已知的webshell查找准确率高,部署方便,一个脚本就能搞定。 缺点:漏报率、误报率高,无法查找0day型webshell,而且容易被绕过。 1.2、动态检测 webshell执行时刻表现出来的特征,我们称为动态特征。只要我们把webshell特有的HTTP请求/响应做成特征库,加到IDS里面去检测所有的HTTP请求就好了。webshell如果执行系统命令的话,会有进程。Linux下就是起了bash,Win下就是启动cmd,这些都是动态特征。 1.3、日志检测 使用Webshell一般不会在系统日志中留下记录,但是会在网站的web日志中留下Webshell页面的访问数据和数据提交记录。日志分析检测技术通过大量的日志文件建立请求模型从而检测出异常文件,例如:一个平时是GET的请求突然有了POST请求并且返回代码为200。 2、工具排查webshell相对于手工排查,工具排查可能更好上手,但是如果想走的更远一些,某些线下的比赛可能会断网,也就说,手工排查的一些基本操作还是要明白的。(但是工具排查真的很香) 推荐一些查杀的平台工具(大部分都是在线端) 1、阿里伏魔 阿里伏地魔简介: 阿里伏地魔在线平台是一款功能强大的Web应用漏洞检测工具,通过自动化的扫描和检测,帮助开发者和安全团队发现和修复安全漏洞,提升Web应用的安全性。(操作简单容易上手) 在线一次只能上传2M大小的文件,对于一些大型网站,文件动则10几个G就显的有点鸡肋。
2、河马 河马简介: 在线端河马是一款功能强大的Web应用安全检测工具,通过自动化的扫描和检测,帮助开发者和安全团队发现和修复安全漏洞,提升Web应用的安全性。 在线端河马的主要功能 漏洞扫描 提供全面的Web应用漏洞扫描,检测常见的安全漏洞,如SQL注入、跨站脚本攻击(XSS)、文件包含、命令注入等。安全检测 检测Web应用的安全配置、代码质量和潜在漏洞,确保应用符合安全最佳实践。报告生成 扫描完成后,生成详细的安全报告,包括发现的漏洞类型、严重程度、漏洞位置和修复建议。修复建议 提供具体的修复建议,指导开发者如何修复代码中的安全漏洞。持续监控 提供持续监控功能,可以定期扫描Web应用,及时发现新出现的安全漏洞。API支持 提供API接口,方便集成到CI/CD流水线中,实现自动化的安全检测。河马是客户端的,而且在线的文件上传也是比阿里伏地魔稍微大那么一些(客户端目前没有接触暂时不知道多大),但是它的查杀能力确实没有阿里伏地魔那么强,可能跟上传的文件大小多少都有点关系吧
3、CloudWalker(牧云) 这里就不一一解释了,反正作用都大差不差,看大家习惯用哪一个吧;
4、在线 webshell 查杀-灭绝师太版
5、D盾 D盾简介: 少有的客户端,常见的都是能查出来的而且也是很好操作易上手,可以说线下比赛断网必备吧用过的都说好! D盾的优点 全面防护:提供多层次的安全防护功能,覆盖常见的Web攻击和安全威胁。实时监控:实时监控Web服务器的运行状态和网络请求,及时发现和应对安全威胁。易于使用:界面友好,配置和使用简单,适合各类用户。日志分析:提供详细的日志和报告功能,帮助管理员识别和追踪攻击行为。
6、微步在线 微步就不多说了,之前我内存取证分析病毒就是用它,效果没的说;
靶机账号密码 root xjwebshell 1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx} 2.黑客使用的什么工具的shell github地址的md5 flag{md5} 3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx 4.黑客免杀马完整路径 md5 flag{md5} 四、参考文章玄机平台应急响应—webshell查杀 【玄机】-----应急响应 五、步骤(解析) 准备工作#1.0首先得有个Xshell,我这边用的是免费版的; Xshell7免费版下载链接 Xshell是一款功能强大的终端模拟器,通过支持多种远程连接协议、提供标签式界面、强大的安全功能和自动化操作,帮助用户高效、安全地管理和访问远程Unix/Linux服务器。无论是日常的远程管理还是复杂的自动化任务,Xshell都能提供强有力的支持。
接着启动环境,会给出IP,用户和密码都有了,我们随便新建一个链接即可;
接着
后面输入用户以及密码我就不演示了,输入完成可以看见链接成功;
首先代码特征 可疑函数调用 WebShell通常会使用一些危险的函数来执行系统命令或代码,如: PHP: eval(), system(), exec(), shell_exec(), passthru(), assert(), base64_decode()ASP: Execute(), Eval(), CreateObject()JSP: Runtime.getRuntime().exec()编码和解码 WebShell经常使用编码和解码技术来隐藏其真实意图,如Base64编码: eval(base64_decode('encoded_string'));文件操作 WebShell可能会包含文件操作函数,用于读取、写入或修改文件: PHP: fopen(), fwrite(), file_get_contents(), file_put_contents()ASP: FileSystemObject网络操作 WebShell可能会包含网络操作函数,用于与远程服务器通信: PHP: fsockopen(), curl_exec(), file_get_contents('http://...')ASP: WinHttp.WinHttpRequest上面刚刚也说了我们可以尝试定位一些特殊的后缀文件,例如:.asp、.php、.jsp、.aspx。 命令: //搜索目录下适配当前应用的网页文件,查看内容是否有Webshell特征 find ./ type f -name "*.jsp" | xargs grep "exec(" find ./ type f -name "*.php" | xargs grep "eval(" find ./ type f -name "*.asp" | xargs grep "execute(" find ./ type f -name "*.aspx" | xargs grep "eval(" //对于免杀Webshell,可以查看是否使用编码 find ./ type f -name "*.php" | xargs grep "base64_decode"一个一个进行尝试即可; find ./ type f -name "*.php" | xargs grep "eval("xargs:xargs命令用于将输入数据重新格式化后作为参数传递给其他命令。在这个命令中,xargs将find命令找到的文件列表作为参数传递给grep命令。 grep "eval(":grep命令用于搜索文本,并输出匹配的行。这里"eval("是grep命令的搜索模式,用于查找包含eval(字符串的行。 可以看见这里PHP结尾的文件都不太正常; 这句想必如果大家之前有接触过web的都不会太陌生; : 是 PHP 代码的结束标记。@eval($_REQUEST[1]);: @ 符号在 PHP 中用于抑制错误信息的输出。如果 eval() 函数执行时发生错误,错误信息将不会被显示。eval() 是一个 PHP 函数,它将传入的字符串作为 PHP 代码执行。这非常危险,因为它允许执行任意代码,这可能导致安全漏洞,如远程代码执行(RCE)。$_REQUEST 是一个超全局变量,它包含了 $_GET、$_POST 和 $_COOKIE 的数据。在这个上下文中,它被用来获取通过 HTTP 请求传递的参数。[1] 表示从 $_REQUEST 数组中获取第二个元素(数组索引从 0 开始计数)。这意味着代码将执行 $_REQUEST 数组中第二个元素的值作为 PHP 代码。所以很明显shell.php是一个病毒文件,那我们定位一下它的目录过去查看一下内容;
发现里面没啥内容,不过没关系我们还有两个可以进行查看,继续分析另外两个PHP文件;
最后终于在gz.php里面发现了; |
【本文地址】
今日新闻 |
推荐新闻 |