首页 应急响应 靶场 玄机

靶机地址:https://xj.edisec.net/challenges/25

题目:

靶机账号密码 root xjwebshell

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}

2.黑客使用的什么工具的shell github地址的md5 flag{md5}

3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx

4.黑客免杀马完整路径 md5 flag{md5}

解题:

  1. SSH连接靶机

![](/images/第一章 应急响应_Webshell 查杀_1716988388468-459f2ff0-8f51-4a58-88f6-cf5f38baf440.png)

用D盾直接开扫,扫到几个后门(实际环境不能把人家公司的网站扒下来,人家会以为你是间谍…)

![](/images/第一章 应急响应_Webshell 查杀_1716989218935-92911cd0-2bdc-4b8c-bff7-37302eab0a5b.png)

排查到gz.php里面有疑似flag

![](/images/第一章 应急响应_Webshell 查杀_1716989252535-71a67681-e212-4e7c-b0b0-9c65f36da63b.png)

  1. 哥斯拉码特征,默认key为3c开头

![](/images/第一章 应急响应_Webshell 查杀_1716989180940-fdb0d397-40f2-43c1-a6ae-55f4e2cfd3c1.png)

md5后提交即可

  1. 通常以.为前缀的一般都是隐藏文件,D盾只扫到一个隐藏文件,在Linux里面找到这个路径并且进行md5即可

![](/images/第一章 应急响应_Webshell 查杀_1716989495844-48acd3db-e139-49b8-bda6-2dd1e9ca8d0e.png)

路径就是/var/www/html/include/Db/.Mysqli.php

  1. 免杀Webshell马一般都是通过一些编码而来的,所以我们可以直接在Linux里面,使用管道符进行搜索含有编码加密的一些文件,如base64、AES等

![](/images/第一章 应急响应_Webshell 查杀_1716989670535-ba441081-b20a-47c6-baca-e9b6000e4995.png)

这里定位到了top.php,我们拿来md5就得到了答案