国产开源 Web shell 威胁到了网络世界的安全

Catalin Cimpanu 的头像

·

·

·

9,398 次阅读

两名中国的安全研究人员开发了一个新的 Web shell,并把它开源到 GitHub 上了,任何人都可以使用它,或基于它改造成自己的黑客工具。

这个 Web Shell 的名字是 “ C刀 Cknife ”——中国小刀的意思。它首次出现在 2015 年底,以 Java 开发,包括一个可以让它连接到 Java、PHP、ASP 和 ASP.NET 等服务器的服务器端组件。

两位作者是来自 MS509Team 的 Chora 和 MelodyZX,其中 MelodyZX 曾向阿里安全应急响应提交过漏洞,并应邀参加过2016 网络安全年会专题演讲。

中国菜刀 China Copper ”之后的复刻版

Recorded Future 的调查显示,这两位作者想要创造一个“中国菜刀”的复刻版。“中国菜刀”是一个非常有效的,但是已经过时的 Web Shell,它发布于 2013 年,曾经是中国红客的首选工具。

在“C刀”和“中国菜刀”之间有一些相同的地方,比如图标和发起 HTTP 请求的行为,但是两个工具也有根本性的不同,“C刀”采用 Java 编写,而“中国菜刀”则以 C++ 编写。此外,“C刀”在 Web Shell 的客户端和被入侵的服务器之间的通讯使用 HTTP,而“中国菜刀”则使用的是 HTTPS。Recorded Future 说“C刀”的作者承诺或在未来几个月内增加 HTTPS 支持。

Recorded Future:“C刀”是 Web 服务器的远程管理木马(RAT)

目前,“C刀”允许使用者同时连接多台服务器,比如同时连接到 Web 服务器和数据库,以及运行一个远程命令行。

由于其大量的功能和甚至支持替换显示样式的漂亮界面,Recorded Future 认为它更像是一个“Web 服务器的远程管理木马(RAT)”而不是传统的 Web Shell。

尽管两位作者作为安全人员的职业很成功,但是这种开源了 Web Shell 的行为似乎跨越了白帽子和黑帽子之间的界限,相对于网络安全从业人员而言,这种工具对于网络攻击者更有用处。

4 条回复

  1. 来自北京的 Chrome 53.0|Windows 10 用户 的头像
    来自北京的 Chrome 53.0|Windows 10 用户

    无心插柳

    来自北京
  2. 来自澳大利亚的 Firefox 45.0|GNU/Linux 用户 的头像
    来自澳大利亚的 Firefox 45.0|GNU/Linux 用户

    然而并没有什么卵用,逼近类似的web shell还有很多,比如WSO, C99,和B374K。而且只是影响管理不当,有漏洞或配置弱点的服务器。逼近web shell只能被利用于:跨站点脚本; SQL注入; 应用/服务漏洞(例如,在WordPress或其他CMS应用); 文件处理漏洞(例如,上传过滤或文件分配的权限); 远程文件包含(RFI)和本地文件包含(LFI)漏洞; 暴露管理接口(有可能发现上述漏洞)。

    这些在美国计算机应急准备小组网站上都有说明Alert (TA15-314A)

  3. chenjintao_ii [Firefox 47.0|Windows 7] 的头像
    chenjintao_ii [Firefox 47.0|Windows 7]

    holy high 的样子

    来自杭州
  4. xiaoniqiu2015 [Liebao|Windows 10] 的头像
    xiaoniqiu2015 [Liebao|Windows 10]

    C刀好牛掰

    来自上海

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注