蚁剑文件下载流量分析:

: : 一次闲来无事,分析一波蚁剑的流量,希望能对今后编写木马文件有所启发;学习学习大佬们的方法,掌握高级一点的获取webshell技巧!

抓取下载文件数据包:

1665483785677

将数据包解码:

1665484001526

放入PHPstorm调试代码

1665484049344

DEBUG后发现:

下载文件流程为,将要下载的文件名通过post用base64加密传输,且前两位字符为无意义符用于混淆安全软件。

使用fopen函数打开文件,用fgetc从文件中读取一个字符,如果读取到就读取文件内容到缓冲区并关闭文件。

1665484224056

最后返回缓冲区中的数据由蚁剑接收保存到本机。

1665484634142

蚁剑文件下载流量分析完毕!

蚁剑文件上传流量分析

抓取上传文件的数据包:

1665484809902

将数据进行解码:

1665484845221

解码后放入phpstorm调试:

1665485033670

进过DEBUG发现:

1.蚁剑通过post传两个参数,一个是文件的上传路径,一个是文件内容。

2.其中文件路径通过base64编码传输,数据最前面加两个无意义字符混淆。

3.文件内容通过url编码上传且去掉%。

4.当参数成功获取时,通过for循环以两个字符长度取值解码文件内容。

5.将文件内容解码拼接后复制给变量$buf,最后通过fopen函数追加写打开文件,用fwrite函数将内容写入

1665485184061

蚁剑文件上传流量分析完毕!