php_webshell免杀--从0改造你的AntSword

最新推荐文章于 2026-06-23 13:31:02 发布
原创 最新推荐文章于 2026-06-23 13:31:02 发布 · 760 阅读 · 14
标签
#php #开发语言 #安全 #web安全 #网络安全

AntSword

0x00 前言:

为什么会有改造蚁剑的想法,之前看到有做冰蝎的流量加密,来看到绕过waf,改造一些弱特征,通过流量转换,跳过密钥交互。
但是,冰蝎需要反编译去改造源码,再进行修复bug,也比较复杂。而AntSword相对于冰蝎来说,不限制webshell,即一句话也可以进行连接,还可以自定义编码器和解码器,可以很容易让流量做到混淆。

0x01 蚁剑介绍及其改编:

关于蚁剑的介绍,这里就不多说了,一个连接webshell的管理器,使用前端nodejs进行编码。AntSword给我最大的好处是可以连接一句话木马,而且可以自定义编码器和解码器。这让我们就有了很多种webshell的变换

image.png


但是蚁剑默认的编码器和菜刀都是一样的,这里用burpsuite来进行抓包看下流量。

蚁剑默认流量

image.png


返回来的是默认蚁剑的默认流量,所以的话,这里就基本上过不去态势感知和waf,所以很容易想到了编码器和解码器的选择可以进行流量的改造来进行waf的绕过先选用最默认的base64进行测试。

默认的base64编码器

image.png


但是看到了使用base64编码之后是有eval字样的,这样的话

最低0.47元/天 解锁文章
seoppg
关注
加密 WebShell
悦分享
08-03 2632
中国是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。中国推崇模块化的开发思想,遵循开源,就要开得漂亮的原则, 致力于为不同层次的人群提供最简单易懂、方便直接的代码展示及 其修改说明,努力让大家可以一起为这个项目贡献出力所能及的点滴,让这款工具真正能让大家用得顺心、舒适,让它能为大家施展出最人性化最适合你的能力!通俗的讲:中国与中国菜刀相比,界面更加美观、功能更加齐全,并且自定义的程度更高且开放源代码。...
利用PHP的特性做Webshell
顶峰
08-10 473
最近很多家厂商都陆续开放了自己的Webshell检测引擎,并且公开接口,邀请众安全研究员参加尝试bypass检测引擎,并且给予奖励,我也参加了几场类似的活动,有ASRC的伏魔计划,也有TSRC的猎刃计划,还有最近正在进行的长亭的牧云(Aka.关山)Webshell检测引擎,如果你都参加或者关注了这三个比赛,你会发现他们都提到了以下几个技术:1、词法分析2、污点追踪3、恶意代码检测。
中国AntSword
热门推荐
学习、分享、交流
04-05 1万+
​ 中国是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。 ​
连接两个形式--
m0_68976043的博客
03-13 1282
大致的意思会输出一些内容 随机字符串+环境变量+随机字符串,如果用eval代替assert是完全没问题的,我查了下资料,assert是不能执行多个语句的,eval可以,所以这里使用assert会有返回为空的问题。这里简单来说就是eval函数中参数是字符,如:eval('echo 1;assert函数中参数为表达式 (或者为函数),如:assert(phpinfo())这个问题可以使用base64编码的问题解决,编码后的数据包,可以看到ant这个参数传入的是一句话,因此就可以通过assert执行成功。
php_webshell--0改造你的AntSword(转载)
夜星空如海的博客
04-21 225
php_webshell--0改造你的AntSword
PHP回调函数在WebShell中的10种高级绕过技术剖析
weixin_30650039的博客
06-17 396
Web安全领域,回调函数是一种常见的编程机制,它允许将函数作为参数传递,实现动态执行逻辑。其核心原理在于通过callable参数延迟或条件化代码执行,这为构建灵活的程序架构提供了可能。从技术价值看,回调函数在数据处理、事件驱动和插件化设计中广泛应用,是提升代码复用性和模块化的重要手段。然而,这一特性也被攻击者利用,成为构造隐蔽WebShell的关键技术。特别是在PHP WebShell场景中,攻击者通过字符串分割、异或运算、环境变量提取等方式动态生成敏感函数名,并借助array_udiff_assoc
WebShell实战:HASH比较绕过原理与自动化工具实现
最新发布
weixin_33860528的博客
06-23 390
网络安全领域,WebShell作为常见的攻击载荷,其检测与是攻防对抗的核心。安全设备常采用静态特征检测,其中基于文件哈希值的黑名单比对因其速度快、误报率低而被广泛应用。哈希检测的原理是通过计算文件内容的MD5或SHA1等哈希值,与恶意样本特征库进行匹配。然而,这种机制对内容变化极度敏感,任何微小改动都会生成全新哈希,这构成了绕过的技术基础。通过向WebShell代码中注入不影响功能执行的‘扰动因子’,如随机注释、空白符、变量名替换和字符串等价变换,可有效改变其二进制哈希值,从而绕过静态哈希黑名单检测。
35_WebShell管理工具、中国AntSword的安装及使用、御的使用、后台目录扫描
weixin_54591045的博客
08-14 1327
WebShell管理工具、中国AntSword的安装及使用、御的使用、后台目录扫描
AntSword-2.1.15及AntSword-Loader-v4.0.3-win32-x64下载:强大的WebShell管理工具
gitblog_06747的博客
05-21 469
AntSword-2.1.15及AntSword-Loader-v4.0.3-win32-x64下载:强大的WebShell管理工具 【下载地址】AntSword-2.1.15及AntSword-Loader-v4.0.3-win32-x64下载 AntSword是一款功能强大的WebShell管理工具,适用于多种操作系...
AntSword抓包看一句话木马:为什么你的webshell能被安全工具检测到?
weixin_29216353的博客
03-22 360
本文通过AntSword抓包分析,揭示了一句话木马(如eval和assert)的通信特征及其被安全工具检测到的原因。文章详细解析了PHP木马的流量特征、安全设备的检测逻辑,并提供了实战验证的改造方案,帮助读者理解并应对webshell检测的挑战。
从CTF靶场到实战:使用中国连接WebShell的完整指南
weixin_33834628的博客
06-18 813
WebShell网络安全中常见的后门技术,通过在服务器上植入恶意脚本实现远程控制。其核心原理是利用服务器脚本语言(如PHP)的动态执行功能,接收并执行客户端发送的指令。在渗透测试和CTF竞赛中,WebShell连接技术对于漏洞利用和权限维持具有重要价值。中国作为现代化的WebShell管理工具,通过编码器与解码器的配合,能有效绕过基础防护检测,其图形化界面降低了操作门槛。本文以GXYCTF2019 BabyUpload1靶场为例,详细解析连接WebShell的配置流程、编码器匹配原理及常见问题排查
中国AntSword反制 RCE漏洞复现 windows环境上反弹shell 吊打攻击你的黑客
Jiuchen的博客
03-16 4834
中国(AntSword) 是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。黑客在你的web服务上植入了WebShell,利用去连接并控制了你的电脑,这时被你发现了电脑被控制 变的卡卡的,并且发现了是通过web服务里的WebShell来控制你的,想到自己磁盘里几十G的秘密学习资料可能全部被窃取,你很不爽,你想找到这个黑客小子,绞尽脑汁想了很多办法也无法痛快的还击,直到你想起来在2023年3月16号读到的我这篇文章,你抱着试试看的态度去尝试了一下,发现
渗透利器 | 常见的 WebShell 管理工具
喜欢Python编程的程序员柚柚呀
11-28 2480
攻击者在入侵网站时,通常要通过各种方式写入 Webshell,从而获得服务器的控制权限,比如执行系统命令、读取配置文件、窃取用户数据,篡改网站页面等操作。本文介绍十款常用的 Webshell 管理工具,以供你选择,你会选择哪一个?中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理!在非简体中文环境下使用,自动切换到英文界面。UNICODE 方式编译,支持多国语言输入显示。
Webshell特征分析实战:从静态代码到网络流量的立体检测框架
weixin_30527423的博客
06-21 452
网络安全领域,Webshell作为一种常见的后门程序,其检测与防御是安全运维的核心挑战。理解Webshell的工作原理,需要从代码执行、文件操作、网络通信等基础技术概念入手。攻击者利用动态脚本语言的特性,通过高危函数调用实现远程控制,其技术价值在于为攻击者提供持久化的访问通道,对系统安全构成严重威胁。应用场景广泛覆盖网站入侵、数据窃取、横向移动等攻击链环节。随着混淆加密、内存马等技术的发展,传统基于静态特征匹配的检测方法已显不足。因此,建立涵盖静态代码分析、动态行为监控、网络流量识别及系统痕迹排查的多
什么是webshell 常见的webshell工具有哪些
Innocence_0的博客
07-19 369
Webshell是黑客经常使用的一种恶意脚本,其目的是获得服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。黑客通常利用常见的漏洞,如SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本攻击(XSS)等方式作为社会工程攻击的一部分,最终达到控制网站服务器的目的。常见的webshell编写语言为asp、jspphp。本文将以php Webshell为示例,详细解释Webshell的常用函数、工作方式以及常用隐藏技术。
从防御者视角看攻击:我用AntSword复现了一次真实的Webshell入侵,并总结了5条防护建议
weixin_27215337的博客
04-06 233
本文从防御者视角详细解析了攻击者使用AntSword工具实施Webshell入侵的全过程,并提供了5条实用的防护建议。通过复现攻击链的每个环节,包括初始入侵、权限维持、命令控制等,帮助安全运维人员构建纵深防御体系,有效识别和阻断Webshell攻击。
中国-antSword:开源Webshell管理工具的多场景实战指南
weixin_29292431的博客
03-30 365
本文详细介绍了中国antSword)作为开源Webshell管理工具的多场景实战应用。从环境搭建、基础配置到渗透测试中的高阶技巧,包括文件管理、端口转发等实用功能,帮助安全测试人员和运维人员高效完成授权测试和网站维护。同时强调合法使用的重要性,提供安全实践建议。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值