十大黑客工具之中国菜刀（Chopper）

下表表现了从MFT中提取的Webshell时刻戳，留意”fn*”字段包括了文件的原始时刻。

Category     Pre-touch match    Post-touch match 
siCreateTime (UTC)  6/6/2013 16:01  2/21/2003 22:48 
siAccessTime (UTC)  6/20/2013 1:41  6/25/2013 18:56 
siModTime (UTC) 6/7/2013 0:33   2/21/2003 22:48 
siMFTModTime (UTC)  6/20/2013 1:54  6/25/2013 18:56 
fnCreateTime (UTC)  6/6/2013 16:01  6/6/2013 16:01 
fnAccessTime (UTC)  6/6/2013 16:03  6/6/2013 16:03 
fnModTime (UTC) 6/4/2013 15:42  6/4/2013 15:42 
fnMFTModTime (UTC)  6/6/2013 16:04  6/6/2013 16:04 

数据库打点

中国菜刀支持各类数据库，如MYSQL,MSSQL,ORACLE,INFOMIX,ACCESS等，数据库操纵界面，内置了一些常用的数据库语句，可以或许自动表现表名、列名，查询语句，而且内置了常用的数据库语句。如下图11：

链接之后，菜刀提供了一些常见的数据库语句，如图12：

呼吁行成果

最后，菜刀提供了一个呼吁行界面，可以或许通过呼吁行shell举办操纵体系级此外互动，虽然担任的权限是WEB应用的权限。如图13：

Payload属性

除了以上的成果之外，中国菜刀的可以或许在黑客圈普及行使，尚有以下几个身分：

• 巨细
• 处事端内容
• 客户端内容
• 是否免杀

巨细

中国菜刀的处事端剧本很是小，是典范的一句话木马，个中aspx处事端软件只有73字节，见图14，对比其他传统的webshell可见它的良好性。

处事端内容

中国菜刀的处事端代码除了简捷之外，而且支持多种加密、编码。

客户端内容

在赏识器不会发生任何客户端代码，如图16：

杀毒软件检测：

大大都杀毒软件不能检测出该器材。如下图：

在第一部分份的菜刀分解内里，已经先容了“中国菜刀”的易用界面以及一些高级特征。——个中最令人注目标，莫过于其作为web shell的巨细，aspx版仅有73字节，在硬盘中才4k。而在这部门里，将会具体“中国菜刀”平台合用性、上传机制、通信模式以及怎样侦测，至于中国菜刀一向在争论的一个话题，有没有后门，列位基友，您看了就知道了。

平台：

web处事器平台——JSP, ASP, ASPX, PHP, 或 CFM。同时在Windows和Linux合用。在系列一的说明内里已经展示过“中国菜刀”在windows 2003 IIS 中运行ASPX的环境。在这一部门里，讲展示运行在Linux平台下的PHP环境。如下图所示，PHP版本的内容极其精简。

依靠与差异的平台，“中国菜刀”有差异的可选项。下图表现了在Linux平台下的文件打点特征，(相同于Windows)

上传机制：

因为它的巨细，名目，以及简朴的payload，“中国菜刀”的传输机制可以很机动多样。以下恣意一种要领都可以举办传输：

• 通过WebDAV文件上传
• 通过JBoss jmx-console 可能Apache的Tomcat打点页面上传
• 长途代码执行下载
• 通过其他方法接入后传输

通信说明：

我们已经看过它在处事器端的payload以及节制web shell的客户端。接下来，我们搜查一下“中国菜刀”的通信收集流量。我们通过抓包软件，说明其处事端和客户端的通信环境。

操作抓包软件Wireshark的“follow the TCP”成果可以看到整个TCP数据交互进程。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!