China chopper

类别 : 网站管理

语言 : 简体中文

软件授权 : 开源免费

官方网址 :

标签 : WebShell 小工具 Shell 渗透工具

工具介绍

中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理!中国菜刀包含了“安全扫描”功能,攻击者能够使用爬虫或暴力破解来攻击目标站点,如下图:
1.jpg

在除了发现漏洞之外,中国菜刀最强大的莫过于管理功能了,包含以下内容:
1、文件管理(文件资源管理器)
2、数据库管理(DB客户端)
3、虚拟终端(命令行)

在中国菜刀的客户端界面中,右键单击一个目标可以查看相应的功能列表

22.jpg中国菜刀作为一个远程访问工具(RAT),包含了常见的上传、下载、编辑、删除、复制、重命名以及改变文件的时间戳。

3.jpg修改文件功能现在常见的webshell就带了该功能,因为Windows资源管理器只显示“修改日期”字段,所以通常情况下,能够达到隐藏操作的目的:
4.jpg使用工具将文件修改和其他两个文件相同,可以看到文件的修改的日期和其他两个文件一致,如果不是专业的人士,一般不会看出这几个文件的区别:
5.jpg中国菜刀支持各种数据库,如MYSQL,MSSQL,ORACLE,INFOMIX,ACCESS等,数据库操作界面,内置了一些常用的数据库语句,能够自动显示表名、列名,查询语句,并且内置了常用的数据库语句。
6.jpg链接之后,菜刀提供了一些常见的数据库语句
7.jpg最后,菜刀提供了一个命令行界面,能够通过命令行shell进行操作系统级别的互动,当然继承的权限是WEB应用的权限。
8.jpg

使用方法

打开中国菜刀界面,我们可以看到该工具是一款图形界面工具,并且提供了添加自己的目标、管理的功能,在客户端软件上,右键单击选择“添加”,输入IP地址,以及密码和编码方式
9.jpg服务端payload组件
中国菜刀的工具是一款Webshell管理工具,相应必然有一个服务端的程序,它支持各种语言,如ASP、ASPX、PHP、JSP、CFM,一些官网下载原始程序MD5 HASH如下:

Web shell Payload MD5 Hash
Customize.aspx 8aa603ee2454da64f4c70f24cc0b5e08
Customize.cfm ad8288227240477a95fb023551773c84
Customize.jsp acba8115d027529763ea5c7ed6621499

例子如下:
WX20171030-003823@2x.png         在实际使用过程中,替换PASS为链接的时候需要的密码。

相关工具