使用D盾扫描Linux主机Webshell

admin 2024年9月28日12:26:30评论10 views字数 2228阅读7分25秒阅读模式
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安设为星标”,否则可能看不到了

0x00 前言

我们在Linux应急时有时要用到Webshell查杀工具对被攻击站点进行木马扫描和清理;众所周知D哥的D盾在Webshell查杀方面做的还是很强的,但可惜没有Linux版,只能在Windows下使用。

那么在这种场景下我们又该如何使用D盾查杀Linux主机的Webshell?打包整站到本地来扫肯定不现实(太刑了)…!这里我们可以将Linux文件系统挂载到Windows,然后再用D盾扫描就行了。

使用到的工具:

https://www.d99net.net/https://winfsp.dev/rel/https://github.com/evsar3/sshfs-win-managerhttps://github.com/dokan-dev/dokany/releases/tag/v1.0.5https://github.com/feo-cz/win-sshfs/releases/tag/1.6.1https://github.com/DDoSolitary/yasfw/releases/tag/v0.1.0

0x01 winfsp + sshfs-win

官网下载winfsp和sshfs-win,要以管理身份进行安装,否则可能出现以下报错,全程无脑下一步,最后finish就可以了,可参考今天发的次条文章。

The installer has encountered an unexpected errorinstalling this package. This may indicate a problem with this package. The error code is 2503/2502.

使用D盾扫描Linux主机Webshell

1. 安装完成后我们就可以通过右键“此电脑”->“映射网络驱动器”进行挂载,首次连接时需要验证SSH用户密码。

\sshfsroot@192.168.1.120          //映射home目录\sshfsroot@192.168.1.120/        //映射/根目录\sshfs.rroot@192.168.1.120        //映射/根目录\sshfs.rroot@192.168.1.120!1234   //映射/根目录(其他端口)
使用D盾扫描Linux主机Webshell

2. 我们也可以用net use命令将Linux根目录映射挂载到本地,Z为映射的磁盘盘符,可自行修改,这里也需要验证SSH用户密码。

net use              //列出所有网络连接net use Z: /del      //删除本机映射的Z盘 net use * /del /y    //删除所有映射和IPC$net use Z: \sshfsroot@192.168.1.120/         //将对方根目录映射为Z盘net use Z: \sshfs.rroot@192.168.1.120         //将对方根目录映射为Z盘net use Z: \sshfs.rroot@192.168.1.120!1234    //将对方根目录映射为Z盘(其他端口)
使用D盾扫描Linux主机Webshell

3. 我们还可以用SSHFS-Win Manager这个界面化工具进行连接和挂载,Add Connection添加一个连接,按要求填写相关选项,然后再点击那个图标即可成功挂载。

NAME:连接名称;IP/HOST:服务器IP;PORT:SSH端口号;USER:SSH用户名;PASSWORD:SSH密码;PATH:挂载文件夹路径;DRIVE LETTER:驱动器号(盘符),Auto为自动,可自行选择;
使用D盾扫描Linux主机Webshell

使用D盾扫描Linux主机Webshell

使用D盾扫描Linux主机Webshell

常见报错解决:

使用SSHFS-Win Manager工具连接时如果出现“winfsp-x64.dll not found”报错,这是因为没有安装winfsp而导致,只需要重装下winfsp即可解决。

使用D盾扫描Linux主机Webshell

有时在卸载映射磁盘时会出现“此网络连接不存在”报错,也不能用net use命令删除映射磁盘,可以尝试断开网络重新连接,或者卸载并重装winfsp、sshfs-win。

使用D盾扫描Linux主机Webshell

0x02 dokan + win-sshfs/yasfw

win-sshfs、yasfw这两个工具都依赖Dokan,所以得先安装Dokan,而且还得是v1.0.5,否则在挂载时会提示缺少dokan相关文件或者其他各种版本错误等。

1. 安装完成后我们就可以用win-sshfs工具进行连接和挂载,按要求填写相关选项,然后先点击右下角的Save,再点击Mount即可成功挂载,Dokan版本不对会有提示。

使用D盾扫描Linux主机Webshell

2. 我们也可以用yasfw工具执行以下命令进行挂载,但yasfw只能用v0.1.0,如果高于这个版本则可能会出现下图报错,挂载不起来,Dokan不能用net use挂载。

yasfw.exe -s 192.168.1.120 -p 22 -u root -m Z
使用D盾扫描Linux主机Webshell
使用D盾扫描Linux主机Webshell

我们只要使用以上任何一种方式将Linux文件系统成功挂载到本地,然后就可以直接用D盾对其进行Webshell木马文件的扫描和清理了。

使用D盾扫描Linux主机Webshell

注:NSF、Samba等方式在本地测试或内网环境还行,如果在实战应急时可能不太“方便”,因为这两种方式要在他们主机上进行配置和修改,为避免出现不可预知错误,个人不建议使用。

原文始发于微信公众号(潇湘信安):使用D盾扫描Linux主机Webshell

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月28日12:26:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   使用D盾扫描Linux主机Webshellhttp://cn-sec.com/archives/1990579.html

发表评论

匿名网友 填写信息