​
前言
前幾天我在公眾號看到了一篇名為《端內釣魚，反制蟻劍》的文章，我覺得這個思路很好，之後決定深入研究一下，通過兩天的研究，現在已經寫出了比較真實的反制馬。在研究的過程中把一些經驗分享出來，希望可以給大家解決一下問題。

一、反制思路
首先我們知道蟻劍虛擬終端遇到http/https協議頭時會發生轉換，這個連結開啟的頁面是以蟻劍內部的瀏覽器開啟的，蟻劍在實現上用了node.js，之後通過開啟的頁面嵌入js來直接執行命令

這裡松鼠A師傅的文章說的很明白了，https://mp.weixin.qq.com/s/WNv9nPWvKudwimtYTd1zDQ

文章裡面初步認證的問題已經解決了，但是依舊存在很多問題沒有解決。

1.功能模組實現太少，達不到釣魚效果。

2.返回連線那裡執行命令返回一次內容後用戶名變化。

3.執行命令的exec對windows不友好。

4.如果為了追求真實性，釣魚的html過大會導致JS命令執行失敗。

5.蟻劍讀取外部網站會產生快取，如果釣魚的html過大需要清理Appdata的快取在執行才可以。

所以我這裡做了優化和改進，把思路轉換

1.jb小子日站爆目錄

2.爆到一個shell.php

3.通過弱口令蟻劍連線成功

3.讀取檔案和目錄都沒有問題，常見的命令執行沒有問題，但是上傳下載顯示連通性出現問題

4.執行命令突然報錯，後面出現一個欺騙性很高的域名和偽裝度極高的網站

5.急不可耐的點選進去，渲染惡意js指令碼

6.明線：jb小子開始檢視文件尋找解決方法。暗線：C2上線查戶口

二、分析結論
我經過分析之後得出結論

蟻劍分為連通金鑰和功能金鑰兩種金鑰，只用連通金鑰而不去管功能金鑰，導致後面的路徑丟失，自然而且出現“2.返回連線那裡執行命令返回一次內容後用戶名變化”，而且雖然連通金鑰前半部分就可通過認證，但如果要實現完整功能(比如檢視內容)其實還是不夠的。

上面三張圖，首先第一張是蟻劍在執行命令的原始碼，第二張是執行命令請求包，第三張是解碼後的內容，

蟻劍執行命令的結構是

cd /d "路徑"&命令&echo 功能金鑰首&cd&echo 功能金鑰尾。而這種請求的特徵也有兩種，這裡大家可以自行去分析。

PS建議：另外蟻劍是通過F S 等這樣的字母去生成大鑰匙的

三、利用效果
如果明白了，上面說的連通金鑰和功能金鑰，去分析流量找特徵可以實現基本上全部功能。效果如下

​