十大黑客工具之中国菜刀（Chopper）

大多数杀毒软件不能检测出该工具。如下图：

在第一部门份的菜刀剖析里面，已经介绍了“中国菜刀”的易用界面以及一些高级特性。——其中最令人注目的，莫过于其作为web shell的大小，aspx版仅有73字节，在硬盘中才4k。而在这部分里，将会详细“中国菜刀”平台适用性、上传机制、通讯模式以及如何侦测，至于中国菜刀一直在争论的一个话题，有没有后门，各位基友，您看了就知道了。

平台：

web服务器平台——JSP, ASP, ASPX, PHP, 或 CFM。同时在Windows和Linux适用。在系列一的分析里面已经展示过“中国菜刀”在windows 2003 IIS 中运行ASPX的情况。在这一部分里，讲展示运行在Linux平台下的PHP情况。如下图所示，PHP版本的内容极其精简。

依赖与不同的平台，“中国菜刀”有不同的可选项。下图显示了在Linux平台下的文件管理特性，(类似于Windows)

上传机制：

由于它的大小，格式，以及简单的payload，“中国菜刀”的传输机制可以很灵活多样。以下任意一种方法都可以进行传输：

• 通过WebDAV文件上传
• 通过JBoss jmx-console 或者Apache的Tomcat管理页面上传
• 远程代码执行下载
• 通过其他方式接入后传输

通讯分析：

我们已经看过它在服务器端的payload以及控制web shell的客户端。接下来，我们检查一下“中国菜刀”的通讯网络流量。我们通过抓包软件，分析其服务端和客户端的通讯情况。

利用抓包软件Wireshark的“follow the TCP”功能可以看到整个TCP数据交互过程。

（编辑：惠州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!