溯源(一)之溯源的概念与意义溯源(二)之windows-还原攻击路径溯源(三)之Linux-入侵排查溯源(四)之流量分析-Wireshark使用溯源(五)之攻击源的获取溯源(六)之溯源的方法利用AntSwordRCE进行溯源反制黑客在之前文章中我们学习了如何通过Web日志,系统日志,安全设备去获取攻击源,然后再通过获取的攻击源的信息再去寻找攻击者的身份,这些方式都是被动的去寻找攻击者的身份但这些方法不是万能的,实际入侵中,攻击者都会挂一个代理,或者是对自己的流量进行一个加密,所以如果攻击者在攻击过程中进行了以上的行为,那我们通过Web日志或者安全设备得到的攻击源很大概率上都不是真实的所以,我们
文章目录溯源反制-Webshell工具-Antsword正常情况下,PHP后门上线发现PHP后门,修改webshell进行反制溯源反制-SQL注入工具-SQLMAP溯源反制-漏洞扫描工具-Goby&Awvs溯源反制-远程控制工具-CobaltStrike1、伪造流量批量上线(欺骗防御)2、利用漏洞(CVE-2022-39197)前一阶段爆出的CSXSS导致的RCE3、反制Server,爆破密码(通用)CS反制Goby反制Antsword反制AWVS反制BURP反制SQLMAP反制XSS钓鱼蜜罐反制溯源反制-Webshell工具-Antsword蓝队通过修改后门的代码实现获得蚁剑使用者的权限正常
文件上传漏洞描述中国蚁剑安装1.官网下载源码和加载器2.解压至同一目录并3.安装4.可能会出现的错误文件上传过程必要条件代码示例dvwa靶场攻击示例1.书写一句话密码进行上传2.拼接上传地址3.使用中国蚁剑链接webshell前端js绕过方式服务端校验请求头中content-type黑名单绕过1.修改后缀名为黑名单以外的后缀名2.htaccess重写解析绕过上传3.大小写绕过4.空格绕过上传5.利用windows系统特性绕过上传(添加.)6.ntfs交换数据量::$DARA绕过上传7.利用windaows环境叠加特性绕过8.双写后缀名绕过白名单绕过1.目录可控%00截断绕过上传2.文件头检测绕
[网络安全]AntSword蚁剑实战解题详析蚁剑介绍1[极客大挑战2019]Knife思路操作2[极客大挑战2019]Upload文件上传漏洞思路操作总结免责声明:本文仅分享AntSword渗透相关知识,不承担任何法律责任。请读者自行安装蚁剑,本文不再赘述。蚁剑介绍蚁剑(AntSword)是一款开源的跨平台WebShell管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。中国蚁剑的特点主要有如下几点:1.支持多平台。包括macOS、Linux32位、Linux64位、Linuxarmv7l、Linuxarm64、Windows32位、Windows64位。2.完善的
中国蚁剑是菜刀的升级版本,线现下主流的Webshell连接工具之一,有着较广泛的使用,本篇文章会教给大家蚁剑的使用方法以及不同加密方式的流量特征,兼顾攻防两端。蚁剑下载安装参考:中国蚁剑(antSword)下载、安装、使用教程_蚁剑下载_攀爬的小白的博客-CSDN博客目录各种加密方式对比RSA流量加密分析UA混淆代理设置插件使用总结各种加密方式对比蚁剑给我们提供的加密方式由四种:default:默认方式,不推荐tiger=@ini_set("display_errors","0");@set_time_limit(0);functionasenc($out){returnstr_rot13($
中国蚁剑(AntSword)是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。WebShellWebShell可以理解为网页中的木马程序,通过植入到你的web站点,在web页面上的操作,控制你的计算机操作系统,文件,权限,任意命令执行。常见的WebShell分为大马、小马、一句话木马、内存马等。下面为一句话木马的代码展示:#一句话木马中国蚁剑(AntSword)当你的计算机被植入了一句话木马后,需要通过工具进行连接,才可以方便管理,而AntSword就是连接一句话木马工具中的其中之一,类似的工具还有:中国菜刀、哥斯拉、冰蝎等。中国蚁剑(AntS
目录写在前面菜刀蚁剑 冰蝎 冰蝎2.0冰蝎3.0 冰蝎4.0 哥斯拉 写在前面菜刀、蚁剑、冰蝎、哥斯拉是常见的webshell管理工具。在攻防演练中,了解其常见webshell管理工具的流量特征对防守方来说十分重要。常见的webshell也在不断发展以绕过安全设备waf的检测,其流量特征也在不断演变,我们应该与时俱进的进行了解分析。简单的来说,菜刀和蚁剑采用静态加密的方式,其流量的攻击特征较为明显,而冰蝎和哥斯拉采用了动态加密的方式,更容易绕过安全设备的检测。至于为啥要总结这篇文章,原因主要是感觉这几个webshell管理工具的流量特征是hvv和许多安全厂商在流量分析和应急响应的面试中很爱问的
蚁剑:ini_setini_set_timeini_set_limit@ini_set(“display_errors”,“0”)部分代码明文传输,较好辨认菜刀:老版本采用明文传输,非常好辨认新版本采用base64加密,检测思路就是分析流量包,发现大量的base64加密密文就需要注意冰蝎:冰蝎1:冰蝎1有一个密钥协商过程,这个过程是明文传输,并且有两次流量,用来校验冰蝎2:因为内置了很多的UA头,所以当某一个相同IP重复请求,但是UA头不一样的时候就需要注意了冰蝎3:因为省去了协商过程,所以流量上可以绕过很多,但是其他特征依旧保留,比如ua头冰蝎数据包总是伴随着大量的content-type:
为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓01工具下载地址02工具介绍03使用案例04参考资料01工具下载地址https://github.com/AntSwordProject/蚂剑工具的下载分为两个部分,一个是项目核心源码antSword,另一个是加载器AntSword-Loader。我们依次进行下载,并且进行说明先点击进入antSword,点击页面右侧"releases",进入工具的源码下载页面进行源码下载。而后点击进入AntSword-Loader,点击页面右侧"releases",进入加载器下载页面,根据操作系统类型选择对应的加载器,此处以Windows举例。下载完毕后,解压
