应急响应

玄机靶场

一、什么是WebShell应急响应?

简单官方一点:WebShell应急响应是指在检测到WebShell(恶意Web脚本)攻击后,采取一系列措施来控制、消除威胁,并恢复受影响的系统和服务。WebShell是一种常见的攻击手段,攻击者通过上传或注入恶意脚本到Web服务器上,从而获得对服务器的远程控制权限,而我们需要做的就是找到问题所在根源并且解决掉它。

当然也是很开心收到了师傅们给的玄机注册邀请码,马上注册就直奔应急响应例题。
玄机平台链接
注册需要邀请码,评论区留言看到就送。

二、常规后门查杀

1、手动排查webshell

1.1、静态检测

我们可以查找一些特殊后缀结尾的文件。例如:.asp、.php、.jsp、.aspx。

然后再从这类文件中查找后门的特征码,特征值,危险函数来查找webshell,例如查找内容含有exec()、eval()、system()的文件。

优点:快速方便,对已知的webshell查找准确率高,部署方便,一个脚本就能搞定。

缺点:漏报率、误报率高,无法查找0day型webshell,而且容易被绕过。

1.2、动态检测

webshell执行时刻表现出来的特征,我们称为动态特征。只要我们把webshell特有的HTTP请求/响应做成特征库,加到IDS里面去检测所有的HTTP请求就好了。webshell如果执行系统命令的话,会有进程。Linux下就是起了bash,Win下就是启动cmd,这些都是动态特征。

1.3、日志检测

使用Webshell一般不会在系统日志中留下记录,但是会在网站的web日志中留下Webshell页面的访问数据和数据提交记录。日志分析检测技术通过大量的日志文件建立请求模型从而检测出异常文件,例如:一个平时是GET的请求突然有了POST请求并且返回代码为200。

2、工具排查webshell

相对于手工排查,工具排查可能更好上手,但是如果想走的更远一些,某些线下的比赛可能会断网,也就说,手工排查的一些基本操作还是要明白的。(但是工具排查真的很香)

推荐一些查杀的平台工具(大部分都是在线端)

1、阿里伏魔

https://ti.aliyun.com/#/webshell

阿里伏地魔简介:

阿里伏地魔在线平台是一款功能强大的Web应用漏洞检测工具,通过自动化的扫描和检测,帮助开发者和安全团队发现和修复安全漏洞,提升Web应用的安全性。(操作简单容易上手)

在线一次只能上传2M大小的文件,对于一些大型网站,文件动则10几个G就显的有点鸡肋。

1748423151322-36267149-32e7-4611-99a0-9229592a26d4.png

2、河马

https://n.shellpub.com/

河马简介:

在线端河马是一款功能强大的Web应用安全检测工具,通过自动化的扫描和检测,帮助开发者和安全团队发现和修复安全漏洞,提升Web应用的安全性。

在线端河马的主要功能

漏洞扫描

提供全面的Web应用漏洞扫描,检测常见的安全漏洞,如SQL注入、跨站脚本攻击(XSS)、文件包含、命令注入等。

安全检测

检测Web应用的安全配置、代码质量和潜在漏洞,确保应用符合安全最佳实践。

报告生成

扫描完成后,生成详细的安全报告,包括发现的漏洞类型、严重程度、漏洞位置和修复建议。

修复建议

提供具体的修复建议,指导开发者如何修复代码中的安全漏洞。

持续监控

提供持续监控功能,可以定期扫描Web应用,及时发现新出现的安全漏洞。

API支持

提供API接口,方便集成到CI/CD流水线中,实现自动化的安全检测。

河马是客户端的,而且在线的文件上传也是比阿里伏地魔稍微大那么一些(客户端目前没有接触暂时不知道多大),但是它的查杀能力确实没有阿里伏地魔那么强,可能跟上传的文件大小多少都有点关系吧

1748423194946-300c3dcc-2c5d-4be8-aaa6-cd0bdee2cfef.png

3、CloudWalker(牧云)

https://stack.chaitin.com/security-challenge/webshell/index

这里就不一一解释了,反正作用都大差不差,看大家习惯用哪一个吧;

1748423204715-12723c95-52a2-4220-905e-d9a57d6a4ae2.png

4、在线 webshell 查杀-灭绝师太版

http://tools.bugscaner.com/killwebshell/

1748422832475-d4b013ef-b099-4225-a7b1-e03ae997655e.png

5、D盾

https://www.d99net.net/

D盾简介:

少有的客户端,常见的都是能查出来的而且也是很好操作易上手,可以说线下比赛断网必备吧用过的都说好!

D盾的优点

全面防护:提供多层次的安全防护功能,覆盖常见的Web攻击和安全威胁。

实时监控:实时监控Web服务器的运行状态和网络请求,及时发现和应对安全威胁。

易于使用:界面友好,配置和使用简单,适合各类用户。

日志分析:提供详细的日志和报告功能,帮助管理员识别和追踪攻击行为。

1748422824183-72696abc-5e0b-4b72-822a-fe069bad78a8.png

6、微步在线

https://threatbook.cn/next/product/sandbox

微步就不多说了,之前我内存取证分析病毒就是用它,效果没的说;

1748422817832-9bbc2053-f866-4a5f-8924-d3e2683b23ee.png

更新: 2025-05-28 17:07:49
原文: https://www.yuque.com/chaye-apqbl/vsc85q/uhqbertwotd3p34h

misc
#应急响应
应急响应
http://example.com/2025/01/19/应急响应/玄机靶场/index/
Author
chaye
Posted on
January 19, 2025
Licensed under