help.md

1. 在web目录或其他目录 git clone https://github.com/wupco/weblogger.git 注意给当前目录可写..不然clone不进来

2. 给目录权限，可以给777，因为这个目录没用，安装完会自动销毁

3. 检查自己的php.ini，有没有禁用掉system等系统函数(disable_functions)，如果禁用了，暂时先打开，因为安装时移动文件的操作用的是system("mv xxx")；

4. 打开浏览器安装

---

这里的数据存储路径就是数据部分存储的位置，建议采用类似tmp目录一样的各种权限都有的目录，方便处理。web根目录则是输出管理页面的位置，这个目录一定要有写权限。

因为环境的问题，有的php-fpm将每个Web用户的tmp文件都放在沙箱隔离，导致后来写入tmp下的文件实际路径不在tmp下，这种情况建议按照 https://www.cnblogs.com/lihuobao/p/5624071.html 解决，也可以将数据部分写入 /var/tmp/下

---

获取flag的命令用于读取flag来自动替换别人读到的flag，从而让其他人读不到正确的flag，所以输入一个可以读到flag的系统命令即可。 账号密码是管理页面的账号密码，尽量不要弱口令，填一个比较难爆破的。

---

出现这个页面代表安装成功了，这时你先别关掉这个页面，去检查一下你的web目录下git clone的那个目录还存在不存在，正常会进行自我销毁，如果没销毁成功，应该是某些权限配置不对或者system被禁用了。

上面那个tmp的路径用来在web入口处包含 下面的是管理页面的路径

5. 在web入口处或指定文件包含第一行的文件

在index.php 代码中插入 require_once('/tmp/33253f64133730fabaa52a487ff98740/weblogpro.php'); 就ok了

下面的命令可以批量包含

find /var/www/html/ -path /var/www/html/124687a7bc37d57cc9ecd1cbd9d676f7 -prune -o  -type f -name '*.php'|xargs  sed -i '1i<?php require_once("/tmp/33253f64133730fabaa52a487ff98740/weblogpro.php");?>'

访问 http://127.0.0.1/124687a7bc37d57cc9ecd1cbd9d676f7/2cf8e3f14841b6b9b11570eca7e33017/managelog.php 登录，刷新页面，之后所有访问index.php的记录都会在这里看到。

这里可以显示全部header

tools可以显示一些工具：按照时间筛选流量、删除打包流量、获取复合流量exp等

点击get poc 会下载一个python文件

具体需要你修改的部分如下：

需要你在python脚本同目录下创建一个ip.txt，每一行输入一个要攻击的队伍ip

这个python文件会自动重放你get poc对应的流量到你指定的ip，拿到flag并自动提交到平台，而且会发送大量干扰流量，使得对手做流量分析十分困难。

如果想要按照某个顺序重放多个流量怎么办？（例如有登录到后台再getshell的场景）

按照流量的id，填入 用英文逗号分割，例如 5,2,3,2,1 会依次重放id=5的流量、id=2的流量、id=3的流量、id=2的流量、id=1的流量。

第二个菜单栏，iplist，可以列出所有访问ip，点击对应ip会筛选相应ip的流量

第三个栏，risk high ，当其他人通过Web应用拿到flag时，会将该流量记录在risk high中。

第四个栏， 根据几个判断条件，按照是exp的可能性排序所有流量。

在tmp下 可配置参数

其他可修改文件 黑白名单按照一行一个ip来计算，默认开启黑名单模式，当攻击者拿到flag后会自动将他加到黑名单。 白名单模式则需要你手动将checker的ip填入白名单并配置到白名单模式。

其他有用的文件 这个bash运行起来会不停的kill掉www-data起的服务，通常都是内存马、不死马，可以放心使用（因为重要服务都不是www用户起的）。 运行这个bash的方法： 和managelog.php 既管理页面同目录下有个killer.php 直接在浏览器访问即可。