上面这个是一个很经典的菜刀,作为经常使用的工具,我们有必要看看它的原理,是什么处理的,那么怎么知道菜刀是怎么进行管理webshell的呢!
有个很好的方法就是抓包,抓取这个软件发出的数据包就可以看到整个流程了
准备工具:菜刀一个,WSExplorer 抓包工具,火狐浏览器
那么现在来演示一下,这里我用的菜刀是XISE他的功能比较强大,所以就用它来演示
它还查询收录情况
这里我是利用本地搭建的phpstudy集成环境演示
以及一个很普通很普通的一句话,密码是pass
现在准备开始抓包了!!!
接着我点击连接webshell,可以看到这个xise发送了很多数据包出去
现在来单独看看都是做什么的。
先看看它发出去的这个执行命令的请求
先用狐火执行一下看看是返回什么结果,发现是获取了我电脑的盘符,操作系统等信息
那么现在要来解密一下这数据包了,虽然有编码和加密,没关系,现在来解码一下
这个范围内容%号开头就是url编码
注意这里要选择gb2312然后点击解码.我发现这个作者很不文明
去掉注释继续看下面的
这个范围内容使用的是base64加密,这里使用小葵工具进行解密
剩下的这一小段能看到开头是url。剩下的是还是base64加密,所以先进行一个url解码
ok,至此完全解密
文章写了好多,知乎刚刚问题发布不了。。还保存不了草稿,
所以就简单介绍一下剩下的
接着看其他数据包
执行结果如下。
这个是获取到了根目录
这个是获取了一下所有的文件,包括文件名,时间,字节,权限等
可以利用这种抓包方式抓取其他功能的数据包比如:上传,修改,增加,执行命令等
这里就不一一演示,直接给出一个抓取的结果
那么现在我们就会发现编写菜刀很简单了,只要按照这种方式稍加修改发送出去即可!