Skip to main content

蚁剑

流量特征

  1. 默认情况下, 蚁剑发送的数据长度 ≥1700
  2. 默认情况下仅对 data 进行 URL 编码, Data 中含有 @ini_set("display_errors", "0");@set_time_limit(0);
  3. 对于 HTTP Header 的检测可以通过内置库进行识别
  4. 返回的数据中, 会通过随机字符作为开始结束符定位变量输出位置, 其返回的数据结构为 : 随机数 响应内容 随机数

20240411180201

命令解密&密码

  • 密码 : 蚁剑的前两个数据包会协商密码 Key
  • 蚁剑的流量看最长的那串base64的解码就行,并且一般是该参数两位之后的才是正确的命令的Base64编码

image.png

┌──(root㉿JTZ)-[~]
└─# php -r "var_dump(base64_decode('Y2QgIi92YXIvd3d3L2h0bWwiO2NhdCAvc2VjcmV0O2VjaG8gZDBmNGE2OGE7cHdkO2VjaG8gMjVlNzA='));"
string(59) "cd "/var/www/html";cat /secret;echo d0f4a68a;pwd;echo 25e70"

Resources