蚁剑连接php3,中国蚁剑antSword RCE漏洞,建议所有用户升级

article/2025/4/29 22:53:32

4月12日凌晨,有用户在中国蚁剑GitHub上提交了issue,称发现中国蚁剑存在XSS漏洞,借此可引起RCE。据悉,该漏洞是因为在webshell远程连接失败时,中国蚁剑会返回错误信息,但因为使用的是html解析,导致xss漏洞。

当通过中国蚁剑连接webshell,出现连接失败情况时,中国蚁剑会返回错误信息,如下图:

6248a3e42a89615705efda5b8b2d04a4.png

而该信息并没有进行 XSS 保护,因此能够利用 js 调用 perl 便可反弹攻击者的shell。

header('HTTP/1.1 500 #');

1

2

header('HTTP/1.1 500 #');

60d756d69c39af7e646490f1ed50014e.png

反弹shell的exp (for perl)如下,使用base64编码:

header("HTTP/1.1 406 Not #");


http://chatgpt.dhexx.cn/article/jsFHrM9m.shtml

相关文章

【简单工具】中国蚁剑V2.0下载安装到上手

【简单工具】中国蚁剑V2.0下载安装到上手

目录 1 安装及设置1.1 下载1.2 安装1.3 相关设置 2 第一个Shell2.1 实验环境2.2 实验步骤2.3 思考 3 总结参考文献 1 安装及设置 1.1 下载 下载蚁剑加载器。在蚁剑官方github下载,网址为https://github.com/AntSwordProject/AntSword-Loader,根据自己系…
阅读更多...
中国蚁剑的下载以及安装教程

中国蚁剑的下载以及安装教程

一,中国蚁剑下载 唯一官方github下载地址: AntSwordProject GitHub 加载器: GitHub - AntSwordProject/AntSword-Loader: AntSword 加载器 核心源码: GitHub - AntSwordProject/antSword: 中国蚁剑是一款跨平台的开源网站管…
阅读更多...
攻防兼备:中国蚁剑使用指南及特征流量

攻防兼备:中国蚁剑使用指南及特征流量

中国蚁剑是菜刀的升级版本,线现下主流的Webshell连接工具之一,有着较广泛的使用,本篇文章会教给大家蚁剑的使用方法以及不同加密方式的流量特征,兼顾攻防两端。 蚁剑下载安装参考:中国蚁剑(antSword)下载、安装、使用…
阅读更多...
中国蚁剑下载安装教程

中国蚁剑下载安装教程

启动中国蚁剑 1 、 下载主程序 文件名:antSword.zip 链接: https://pan.baidu.com/s/1wRmj_cB1sLkJ_npRCYO8Xw 提取码:8888 下载以后解压,比如放在 E:\dev_runApp\security\antsword\antSword-master 如下图所示: …
阅读更多...
中国蚁剑下载和安装

中国蚁剑下载和安装

既然都听说过中国蚁剑,就不夸啦~~ 下载地址 AntSwordProject GitHub 如果gitup进不去,附上百度网盘连接:链接:https://pan.baidu.com/s/163nL2VXFNQsBmzrpWVcNXQ?pwd6666 提取码:6666 解压后就可以直接打开 运行后…
阅读更多...
中国蚁剑 配置使用

中国蚁剑 配置使用

1.编写一句话木马,并命名为muma.php 2.利用靶机的文件上传漏洞,将此木马文件( Webshell )上传至靶机 1)打开dvwa网站 2)成功登录DVWA网站后,在网站主页左侧菜单选择 DVWA Security,…
阅读更多...
中国蚁剑运用

中国蚁剑运用

访问之前创建的dvwa靶场 更改安全等级为low并且提交 写一句话马 <?php eval($_POST[cmd]); ?> 生成文件名为shell.php 上传此文件 显示成功 获得上传路径 打开中国蚁剑 右键空白处选择添加数据 URL地址为之前获得的路径地址 连接密码输入写的shell.php中内容cm…
阅读更多...
中国蚁剑(AntSword)安装

中国蚁剑(AntSword)安装

安装 首先&#xff0c;蚁剑分为两个部分&#xff0c;一个是核心源码&#xff0c;另一个是加载器&#xff0c;所以我们需要下载源码和加载器 源码&#xff1a;https://github.com/AntSwordProject/antSword/releases/tag/2.1.14加载器&#xff1a;https://github.com/AntSword…
阅读更多...
中国蚁剑安装

中国蚁剑安装

中国蚁剑安装 一、下载中国蚁剑安装包 1、下载地址&#xff1a; https://github.com/AntSwordProject/ https://github.com/AntSwordProject/AntSword-Loader2、选择版本 二、kali系统下安装步骤 一、上传你所下载的linux 版本的中国蚁剑 1、打开kali终端 找到你上传的中…
阅读更多...
中国蚁剑流量分析

中国蚁剑流量分析

中国蚁剑流量分析 文章目录 中国蚁剑流量分析1.代理2.测试连接数据包:执行代码:执行结果: 3.双击连接第一个数据包数据包: 第二个数据包数据包:执行代码:response: 4.打开文件夹数据包: 5.打开文件数据包&#xff1a;执行代码&#xff1a; 6.修改文件1.修改小文件数据包&#x…
阅读更多...
中国蚁剑Low

中国蚁剑Low

第1步 在DVWA Security里将等级改为Low再点击Submit 第2步在设置里的Advanced的Network的Settings里改为第4个再点击OK 第3步打开抓包工具 第4步到File Upload里 第5步选择文件 第6步点击Upload进行抓包 第7步找到jpg文件将.jpg改为.php 第8步到中国蚁剑里添加数据 第9步目标i…
阅读更多...
中国蚁剑安装教程

中国蚁剑安装教程

中国蚁剑&#xff1a; 向中国菜刀致敬&#xff01;中国蚁剑&#xff1a;一款跨平台的开源网站管理工具 github地址&#xff1a; 蚁剑源代码 https://github.com/AntSwordProject 蚁剑加载器 https://github.com/AntSwordProject/AntSword-Loader 云盘下载&#xff1a; h…
阅读更多...
中国蚁剑简介

中国蚁剑简介

1简单介绍 中国蚁剑和中国菜刀类似&#xff0c;是一款webshell终端管理工具&#xff0c;主要面向合法授权的渗透测试安全人员及常规操作的管理员。 一般结合一句话木马和文件上传使用 一句话木马&#xff1a;在很多的渗透过程中&#xff0c;渗透人员会上传一句话木马&#x…
阅读更多...
【蚁剑工具-01】网站管理工具之中国蚁剑安装过程详解以及应用实例

【蚁剑工具-01】网站管理工具之中国蚁剑安装过程详解以及应用实例

目录 1 中国蚁剑安装及设置1.1 下载1.2 安装1.3 相关设置 2 中国蚁剑应用实例2.1 操作环境2.2 具体步骤 3 总结参考文章 任何人不得将其用于非法用途以及盈利等目的&#xff0c;也禁止未经允许私自修改打包进行发布&#xff0c;否则后果自行承担并将追究其相关责任&#xff01;…
阅读更多...
中国蚁剑的工作原理

中国蚁剑的工作原理

中国蚁剑连接http://192.168.11.157/dvwa/hackable/uploads/pass.php 蚁剑连接并同时用wireshark抓取流量 1274 行&#xff0c;追踪tcp流 因为我们的php.php内容是 $_POST[pass]&#xff0c;所以这里是post了一个pass参数&#xff0c;后面跟上了命令。通过站长工具-URL解码/编码…
阅读更多...
Web安全-AntSword(中国蚁剑)Webshell管理工具使用

Web安全-AntSword(中国蚁剑)Webshell管理工具使用

为方便您的阅读&#xff0c;可点击下方蓝色字体&#xff0c;进行跳转↓↓↓ 01 工具下载地址02 工具介绍03 使用案例04 参考资料 01 工具下载地址 https://github.com/AntSwordProject/蚂剑工具的下载分为两个部分&#xff0c;一个是项目核心源码antSword&#xff0c;另一个是…
阅读更多...
中国蚁剑安装使用教程

中国蚁剑安装使用教程

中国蚁剑安装使用教程 前言一、中国蚁剑安装二、中国蚁剑使用2.1中国蚁剑连接木马2.2中国蚁剑设置代理2.3中国蚁剑参数设置2.4中国蚁剑其他使用 三、 中国蚁剑绕过Waf3.1 编码绕过WAF3.2插件绕过waf3.3 修改蚁剑绕过WAF 总结 大家好&#xff0c;我是the-back-zoom,如下是中国蚁…
阅读更多...
中国蚁剑(AntSword)安装、使用教程

中国蚁剑(AntSword)安装、使用教程

项目地址 加载器&#xff1a; https://github.com/AntSwordProject/AntSword-Loader 核心源码&#xff1a; https://github.com/AntSwordProject/antSword 如果从github上下载很卡&#xff0c;可以去复制链接到githubd上下载 https://githubd.com 中国蚁剑使用说明书&#…
阅读更多...
下载、安装和使用网站控制工具——中国蚁剑

下载、安装和使用网站控制工具——中国蚁剑

下载、安装和使用网站控制工具——中国蚁剑 一&#xff1a;工具的下载 注意&#xff1a;需要下载两个程序&#xff1a;一个是项目核心源码&#xff0c;即主程序-“antSword”&#xff1b;另一个是加载器-“AntSword-Loader”。 主程序的下载 将主程序源码下载之后&#xff0c;…
阅读更多...
中国蚁剑AntSword

中国蚁剑AntSword

中国蚁剑AntSword 中国蚁剑是一款开源的跨平台网站管理工具&#xff0c;它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。 参考文档 中国蚁剑下载、安装、使用教程_Sumarua的博客-CSDN博客_中国蚁剑怎么使用 中国蚁剑AntSword&#xff1a;开源的跨平台…
阅读更多...
推荐文章

Copyright @ 2022~2023