歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

從網絡側分析蟻劍交互流量

來源:本站整理 作者:佚名 時間:2020-03-16 TAG: 我要投稿

中國蟻劍是一款跨平臺且十分優秀的開源網站管理工具,面向于合法授權的滲透測試安全人員以及進行常規操作的網站管理員。它集文件管理、虛擬終端、數據管理功能于一身,可在windows、linux和Mac上正常運行。本文從網絡側出發,從http流量層面對蟻劍功能和逃逸方式等進行分析,旨在幫助大家在網絡流量層面進一步了解蟻劍。

一、AntSword基本操作
蟻劍操作界面比較簡單,易于操作。我們右鍵向蟻劍工作區域添加數據,進行基礎配置,填入shell地址、連接密碼等等,就可以進行連接。另外,它還可以對請求包的編碼方式進行選擇,并且進行分塊傳輸、自定義分割字符等自定義配置。

蟻劍支持php、asp、aspx、custom和php4的站點管理,連接后,可以進行虛擬終端、文件管理等多種操作。在幾種語言環境下,蟻劍對PHP的支持是最好的,本文也以PHP環境作為主要分析對象。

二、AntSword的網絡連接
為了能讓蟻劍順利連接并工作,需要先在linux服務器上搭建了php站點環境,并上經典小馬作為web端的shell腳本。

2.1 AntSword的HTTP請求
在配置測試連接的時候,或是使用蟻劍的管理功能,蟻劍都會發送一個http包獲取服務端相關信息,這個包通常來說是蟻劍發起的第一個http包,通過wireshark抓包分析?梢钥闯雒畛晒绦胁⒌玫搅朔⻊掌鞯恼_響應。

http請求包的body部分攜帶了大量的數據,但是由于進行編碼的原因,結構不是很清晰。為了讓請求代碼更加清晰,先對其進行URL decode,并整理代碼結構:

從請求流量攜帶代碼的功能來看,客戶端請求了服務端當前目錄、根目錄、系統和當前用戶名等信息,輸入到緩沖區再由$output變量接收。為了能在響應包中精確的定位$output輸出位置,代碼通過一些隨機字符作為開始和結束分隔符,與使用固定分隔符相比,這種方式在一定程度上能夠抵抗網絡側安全設備的檢測。

當然,蟻劍中也支持自定義的數據分割符:

在蟻劍的文件管理功能當中,支持的功能相當多,包括上傳、下載、編輯、新建、修改文件權限等。

在進行文件管理操作時抓到的的數據包來看,返回包的結構仍然沒有變化:仍然是開始定位符+返回內容+結束定位符的三段式結構。

繼續解碼分析請求包,其中執行的代碼整體結構不變,只是try代碼塊中的代碼,因為功能變化而發生了改變。從多條http數據流可以判斷,主要功能新代碼都存在于try代碼塊中,其余代碼基本不會發生改變:

繼續分析虛擬終端執行命令時的流量,在執行whoami命令的同時開啟抓包,可以看到虛擬終端正確的執行了這條系統命令并獲取當前用戶為apache。

請求包結構依然只有try代碼塊中的代碼發生了變化,在另一變量中存儲了被base64編碼并且需要執行的系統命令,解碼后可以發現,執行的系統的命令不只是whoami這一條。在該命令前有一條cd指令,之后又一條pwd指令。因為是虛擬終端,難以像真實的終端一樣實時交互。命令的最后存在一個由[S]和[E]字符包裹的當前執行目錄,S和E應該是start和end的縮寫,為執行下一條命令時所需要進入的目錄提供指導,也就是下一條指令需要提前cd進入的目錄:

在返回包中直接返回了命令執行結果,同時在返回結果后跟著被[S]和[E]字串包裹的pwd命令執行結果:

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.www.hfjixin.com)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱admin@www.hfjixin.com,我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        百度 好搜 搜狗

        警告:本站禁止未滿18周歲訪客瀏覽,如果當地法律禁止請自覺離開本站!收藏本站:請使用Ctrl+D進行收藏