http协议的后门:
使用工具:WSExplorer(抓包工具),编解码器Encoder(对数据包进行解码)
过程:用抓包工具抓菜刀的进程,抓取含有菜刀密码的那个包(post),对其第一次解码:URI解码(decode),第二次解码:将“z0=”后面的数据进行base64解码,第三次进行解码:@eval(base64_decode后面括号的内容进行base64解码,如果是带有后门的菜刀。会有@file(),括号内带有的是一个后门网址
Tcp协议的后门:
工具:Microsoft Network Minitor 3.4(监控与分析网路封包),
过程:minitor工具使用:select network选择本地网卡即可————>new captrue————>start:就开始了抓包,如果有Tcp协议的后门,可能抓到有发往外网的包
怎么让菜刀后门失效:
方法:修改本地Host
过程:进入c:\WINDOWS\system32\drivers\etc的hosts:将后门地址的域名映射到127.0.0.1(对:http协议的后门)
反日菜刀后门:
后门地址是get型的,在后面插入xss代码
原文:http://www.cnblogs.com/xiaolangjun/p/7010769.html