玄机-第一章 应急响应-webshell查杀的测试报告

目录

一、测试环境

二、测试目的

三、操作过程

Flag1

Flag2

Flag3

Flag4

四、结论

---

一、测试环境

靶场介绍：国内厂商设置的玄机靶场，以应急响应题目著名。

地址：https://xj.edisec.net/challenges/25

靶机IP：161.189.92.250

环境ssh登录：root/xjwebshell

靶机简介：

二、测试目的

熟悉Linux应急响应流程，熟练查杀webshell，找出4个flag并提交。

三、操作过程

Flag1

查看端口信息可以看到开启了80端口，web访问IP地址也可以看到cms信息

netstat -ano

查看端口对应应用，知道web服务器是apache2

netstat -anp | grep 80

查找php文件中的敏感函数，发现存在几个wenshell文件

find ./ -type f -name "*.php" | xargs grep "exec("
find ./ -type f -name "*.php" | xargs grep "eval("

查看gz.php内容发现了第一个flag

cat ./include/gz.php

Flag1：flag{027ccd04-5065-48b6-a32d-77c704a5e26d}

Flag2

Gz是godzilla的缩写，尝试哥斯拉

Github地址：https://github.com/BeichenDream/Godzilla

MD5：39392de3218c333f794befef07ac9257

Flag2：flag{39392de3218c333f794befef07ac9257}

Flag3

隐藏shell地址：/var/www/html/include/Db/.Mysqli.php

MD5：aebac0e58cd6c5fad1695ee4d1ac1919

Flag3：flag{aebac0e58cd6c5fad1695ee4d1ac1919}

Flag4

Apache2日志：/var/log/apache2/access.log

cat access.log

查看日志找到免杀马地址：/var/www/html/wap/top.php

MD5：eeff2eabfd9b7a6d26fc1a53d3f7d1de

Flag4：flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}

四、结论

熟悉了寻找php的webshell的命令。