|
0x00 前言 我们在Linux应急时有时要用到Webshell查杀工具对被攻击站点进行木马扫描和清理;众所周知D哥的D盾在Webshell查杀方面做的还是很强的,但可惜没有Linux版,只能在Windows下使用。
那么在这种场景下我们又该如何使用D盾查杀Linux主机的Webshell?打包整站到本地来扫肯定不现实(太刑了)…!这里我们可以将Linux文件系统挂载到Windows,然后再用D盾扫描就行了。
使用到的工具: https://github.com/DDoSolitary/yasfw/releases/tag/v0.1.0
0x01 winfsp + sshfs-win 官网下载winfsp和sshfs-win,要以管理身份进行安装,否则可能出现以下报错,全程无脑下一步,最后finish就可以了,可参考今天发的次条文章。
The installer has encountered an unexpected errorinstalling this package. This may indicate a problem with this package. The error code is 2503/2502.
1. 安装完成后我们就可以通过右键“此电脑”->“映射网络驱动器”进行挂载,首次连接时需要验证SSH用户密码。
2. 我们也可以用net use命令将Linux根目录映射挂载到本地,Z为映射的磁盘盘符,可自行修改,这里也需要验证SSH用户密码。
net use //列出所有网络连接 net use Z: /del //删除本机映射的Z盘 net use * /del /y //删除所有映射和IPC$
3. 我们还可以用SSHFS-Win Manager这个界面化工具进行连接和挂载,Add Connection添加一个连接,按要求填写相关选项,然后再点击那个图标即可成功挂载。
NAME:连接名称; IP/HOST:服务器IP; PORT:SSH端口号; USER:SSH用户名; PASSWORD:SSH密码; PATH:挂载文件夹路径;
DRIVE LETTER:驱动器号(盘符),Auto为自动,可自行选择;
常见报错解决:
使用SSHFS-Win Manager工具连接时如果出现“winfsp-x64.dll not found”报错,这是因为没有安装winfsp而导致,只需要重装下winfsp即可解决。
有时在卸载映射磁盘时会出现“此网络连接不存在”报错,也不能用net use命令删除映射磁盘,可以尝试断开网络重新连接,或者卸载并重装winfsp、sshfs-win。
0x02 dokan + win-sshfs/yasfw win-sshfs、yasfw这两个工具都依赖Dokan,所以得先安装Dokan,而且还得是v1.0.5,否则在挂载时会提示缺少dokan相关文件或者其他各种版本错误等。
1. 安装完成后我们就可以用win-sshfs工具进行连接和挂载,按要求填写相关选项,然后先点击右下角的Save,再点击Mount即可成功挂载,Dokan版本不对会有提示。
2. 我们也可以用yasfw工具执行以下命令进行挂载,但yasfw只能用v0.1.0,如果高于这个版本则可能会出现下图报错,挂载不起来,Dokan不能用net use挂载。
yasfw.exe -s 192.168.1.120 -p 22 -u root -m Z
我们只要使用以上任何一种方式将Linux文件系统成功挂载到本地,然后就可以直接用D盾对其进行Webshell木马文件的扫描和清理了。
注:NSF、Samba等方式在本地测试或内网环境还行,如果在实战应急时可能不太“方便”,因为这两种方式要在他们主机上进行配置和修改,为避免出现不可预知错误,个人不建议使用。
| 
发表于 2023-8-29 20:16:48