第一章

应急响应-webshell查杀

靶机账号密码 root xjwebshell
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.黑客免杀马完整路径 md5 flag{md5}

看到ip之后直接用xshell链接
免费版链接https://www.xshell.com/zh/free-for-home-school/

看到链接上之后可以开始找flag了

第一个flag

可以看到提示说的第一个存放在webshell中，呢么我们直接查找高危函数就可
首先我们

//搜索目录下适配当前应用的网页文件，查看内容是否有Webshell特征
find ./ type f -name "*.jsp" | xargs grep "exec(" 
find ./ type f -name "*.php" | xargs grep "eval(" 
find ./ type f -name "*.asp" | xargs grep "execute(" 
find ./ type f -name "*.aspx" | xargs grep "eval(" 
 
//对于免杀Webshell，可以查看是否使用编码
find ./ type f -name "*.php" | xargs grep "base64_decode" 

经过尝试后发现在根目录直接执行是行不通的

手动cd /var/www/html
之后再进行查找

可以看到一些shell最后在gz.php中找到了flag

flag{027ccd04-5065-48b6-a32d-77c704a5e26d}

第二个flag

一眼看出哥斯拉
哥斯拉病毒是一种Java后门木马，通常用于攻击并控制Web服务器。特征就包括：

@session_start(); - 开启一个会话。
@set_time_limit(0); - 设置脚本执行时间为无限。
@error_reporting(0); - 关闭所有错误报告。

这些代码行主要用于隐藏病毒活动并确保其能够长时间运行而不被发现。哥斯拉病毒通常会通过Webshell或其他漏洞注入到服务器中，然后使用这些命令来掩盖其存在并执行进一步的恶意操作。
找到他的网址之后进行md5
Godzilla地址：https://github.com/BeichenDream/Godzilla

flag{39392DE3218C333F794BEFEF07AC9257}

第三个flag

他说了隐藏的webshell呢么直接用ls -la找到即可

可以得知
路径：/var/www/html/include/Db/.Mysqli.php
md加密

flag{AEBAC0E58CD6C5FAD1695EE4D1AC1919}

第四个flag

免杀马（免杀病毒或免杀Webshell）是指经过特殊处理和混淆，使其能够避开杀毒软件和安全检测工具识别的恶意软件或后门程序。黑客使用各种技术手段，使恶意代码看起来像是正常代码，从而躲避签名检测和基于规则的安全机制。这种技术通常用于Webshell和其他后门程序，目的是保持对受害系统的隐蔽访问。
我们直接去查他的日志

cd /var/log    这里可以看到是apache2的服务器
cd apache2 
cat access.log

可以看到有一个top.php
找到路径md5加密一下即可
路径：/var/www/html/wap/top.php

flag{EEFF2EABFD9B7A6D26FC1A53D3F7D1DE}