零基础学黑客,搜索公众号:白帽子左一
作者:掌控安全学员-逍遥子
一、菜刀
1.使用方法
菜刀的使用简单,将一句话木马上传到目标,然后直接使用菜刀连接即可,菜刀主要可以对目标进行虚拟终端,文件操作,数据库操作等。
2.流量分析
1.当菜刀和服务器连接后:最开的的两次流量通信,便产生了大量的数据信息。且使用了base64的方式进行编码
2.对数据解码,发现第一的数据是获取设备的信息,第二段数据是写入了一段新的木马,对第二段的base64编码进行转码整理后得到;
@ini_set("display_errors","0");
@set_time_limit(0);
if(PHP_VERSION<'5.3.0')
{
@set_magic_quotes_runtime(0);
};
echo("X@Y");
$D='C:\\phpStudy\\PHPTutorial\\WWW\\webshell\\';
$F=@opendir($D);
if($F==NULL){
echo("ERROR:// Path Not Found Or No Permission!");
}
else{
$M=NULL;$L=NULL;
while($N=@readdir($F)){
$P=$D.'/'.$N;
$T=@date("Y-m-d H:i:s",@filemtime($P));
@$E=substr(base_convert(@fileperms($P),10,8),-4);
$R="\t".$T."\t".@filesize($P)."\t".$E."\n";
if(@is_dir($P))$M.=$N."/".$R;
else $L.=$N.$R;}echo $M.$L;
@closedir($F);
};
echo("X@Y");
die();
其中特征点有如下三部分,
第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的;
第二:(base64_decode( P O S T [ z 0 ] ) ) , ( b a s e 6 4 d e c o d e ( _POST[z0])),(base64_decode( POST[z0])),(base64decode(_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是将攻击载荷使用Base64编码,以避免被检测;
第三:&z0=QGluaV9zZXQ…,该部分是传递攻击payload,此参数z0对应 P O S T [ z 0 ] 接 收 到 的 数 据 , 该 参 数 值 是 使 用 B a s e 64 编 码 的 , 所 以 可 以 利 用 b a s e 64 解 码 可 以 看 到 攻 击 明 文 。 注 : 1. 有 少 数 时 候 e v a l 方 法 会 被 a s s e r t 方 法 替 代 。 2. _POST[z0]接收到的数据,该参数值是使用Base64编码的,所以可以利用base64解码可以看到攻击明文。 注: 1.有少数时候eval方法会被assert方法替代。 2. POST[
最低0.47元/天 解锁文章
1094
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
