869天 南柯一梦

忠于理想 面对现实

XISE菜刀去后门及自己制作后门详解

发布于 1年前 / 3.1k 次围观 / 1 条评论 / 资源分享 / 南柯一梦

    今天南柯一梦来教大家如何去除XISE菜刀后门,首先我们在某黑帽SEO论坛下载一个V19.9正式免登录版的XISE菜刀

4.png

第一步:判断是否存在后门

南柯一梦使用的是WSExplorer抓包工具

打开抓包工具,监听所打开的XISE菜刀然后我们在XISE上面随便添加一条Shell

2.png

添加以后返回工具看一下有什么反应

3.png

可以看到他发送了一条数据包到XISE菜刀的接收端,http://haorenseo.com/19.php,并且我们添加的Shell密码都发送到了http://haorenseo.com/19.php

第二步:去除后门

既然找到了这个地址,那就开始去后门XISE后门在 fz.dat 里面,我们就要用到下一个工具C32Asm ,这是一个汇编软件,可以反编译程序。

5.png

把 fz.dat 拖进去选择 十六进制模式 点击确定 然后点上面菜单栏 搜索 选择 ANSI 字符串,然后把后门地址填进去

6.png

直接点下一个进行搜索

7.png

后门地址在这里,我们把这个地址,改成随便一个不存在的地址就可以了。但是要注意的是,字符串长度一定要和原字符串长度一样

8.png

可以先在文本里输入对比好长度,然后把我们这个地址直接复制一下

9.png

在这里直接粘贴进去替换掉,如果出现对话框点击确定。替换好以后直接点上面保存按钮然后关闭软件,我们再打开xise测试一下。随便添加一条shell,抓包一下看数据包。

10.png

可以看到现在是把Shell地址和密码数据包发送到了http://www.nkymbk.cn/hk.php 这个地址,而这个地址是不存在的,就可以放心的使用了。

第三步:制作后门

如果要制作自己的后门菜刀,可以自己配置好接收端,然后把这个地址换成你的后门地址就可以,需要注意的是 替换的文本长度和原文本长度一定要一样,不然软件无法打开。大家第一次尝试可以先把 fz.dat 备份一份不然修改以后无法打开就悲剧了。

未显示?请点击刷新