Blog

转自网络

 

Author：Tueur
今天在土司看到有人说菜刀有后门，正好我前段时间对菜刀一句话通讯做过分析，借此发篇文章献丑了。
说明：菜刀用post与服务端通讯，各种语言的加密方法都一样的，仅执行代码不同，这里仅以PHP为例。
其实菜刀的通讯加密并不是很复杂，仅用到base64_encode()函数，但是它的加密手法非常巧妙。
一般POST到服务器的数据，就算加密过了，我们也能用echo $_POST['pass']的方法得到加密后的数据，
所以我分析时在服务器上的"一句话”后面加了段代码，让所有$_POST['pass']的内容都各自保存到一个txt文本。
但用菜刀执行一些操作后，发现服务端保存的txt文本里都只有一句代码："@eval(base64_decode($_POST[z0]));”。
这是它的加密手法之一：POST里包含POST，这样即使管理员发现一句话木马，也无法截取到你执行了什么代码。
服务端突破基本无望，只能本地抓包了，下面这段代码是用抓包工具抓到新建文件的POST数据。(pass是一句话里的post变量名)