蚁剑改造计划：实现其他参数的随机化<\/h1>

前言<\/h2>
本文档详细讲解如何对蚁剑进行改造，实现其他参数的随机化处理，以增强对抗WAF的能力。蚁剑默认对其他参数仅进行base64编码，这留下了明显的特征容易被WAF识别。通过本改造，可以在参数前添加随机字符串，打乱base64解码，提高隐蔽性。<\/p>

问题分析<\/h2>

蚁剑存在以下历史遗留问题：<\/p>

对其他参数仅进行base64编码（如执行cmd时发送base64编码的cmd字符串）<\/li>
即使使用aes编码器也只加密主payload，其他参数仍暴露攻击行为<\/li>

现有解决方案（如双重base64或固定前缀）容易被WAF规则识别<\/li> <\/ul>

解决方案<\/h2>

采用在每个第三方参数前添加用户自定义长度的随机字符串的方法：<\/p>

用户可自定义随机前缀长度<\/li>
修改核心payload模板处理随机前缀<\/li>

随机字符串打乱base64解码，使WAF无法直接分析参数内容<\/li> <\/ol>

具体实现步骤<\/h2>

1. 前端设置<\/h3>

在设置界面添加文本框用于获取用户输入的随机前缀长度：<\/p>

修改source\/core\/base.js<\/code>定义randomPrefix<\/code>变量<\/li>

在source\/modules\/settings\/adefault.js<\/code>中设置默认值<\/li>
<\/ul>
2. 后端处理<\/h3>
后端通过opts.otherConf["random-Prefix"]<\/code>获取用户定义的随机前缀长度值。<\/p>
3. 参数处理流程修改<\/h3>
蚁剑参数处理流程：<\/p>

各类型shell模板文件定义默认payload及参数编码方式（如source\/core\/php\/template\/filemanager.js<\/code>）<\/li>
parseTemplate<\/code>函数提取、解析、组合参数形成最终payload（source\/core\/base.js<\/code>）<\/li>
<\/ol>
需要修改两个部分：<\/p>

核心payload模板 - 用#randomPrefix#<\/code>标记偏移量<\/li>
其他参数组合模块 - 添加随机前缀<\/li>
<\/ol>
4. 新增编码处理器<\/h3>
添加newbase64<\/code>编码处理器：<\/p>
\/**
<\/span><\/span><\/span> * 增加随机前缀的base64编码
<\/span><\/span><\/span> * @param {String} str 字符串
<\/span><\/span><\/span> * @return {String} 编码后的字符串
<\/span><\/span><\/span> *\/<\/span>
<\/span><\/span>newbase64<\/span>(str<\/span>) {
<\/span><\/span>  let<\/span> randomString<\/span>=<\/span>(length<\/span>)=>{
<\/span><\/span>    let<\/span> chars<\/span>=<\/span>'0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'<\/span>;
<\/span><\/span>    let<\/span> result<\/span> =<\/span> ''<\/span>;
<\/span><\/span>    for<\/span> (let<\/span> i<\/span> =<\/span> length<\/span>; i<\/span> ><\/span> 0<\/span>; --<\/span>i<\/span>) 
<\/span><\/span>      result<\/span> +=<\/span> chars<\/span>[Math.floor<\/span>(Math.random<\/span>() *<\/span> chars<\/span>.length<\/span>)];
<\/span><\/span>    return<\/span> result<\/span>;
<\/span><\/span>  }
<\/span><\/span>  return<\/span> randomString<\/span>(randomPrefix<\/span>)+<\/span>Buffer<\/span>.from<\/span>(iconv<\/span>.encode<\/span>(Buffer<\/span>.from<\/span>(str<\/span>), encode<\/span>)).toString<\/span>('base64'<\/span>);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>5. 模板修改<\/h3>
修改后的模板示例：<\/p>

将参数处理函数改为newbase64<\/code><\/li>
处理format()<\/code>函数中opts<\/code>值的传递问题（原代码已注释掉new this.format<\/code>改用Base.prototype.format<\/code>）<\/li>
<\/ul>
6. 参数传递调整<\/h3>
由于无法在format()<\/code>函数中直接获取opts<\/code>值，解决方案：<\/p>

将opts<\/code>传给format<\/code>函数<\/li>
在format<\/code>中重新获取所需变量<\/li>
<\/ol>
测试与使用<\/h2>

前缀长度默认设为2，可自定义修改（建议不要设为4的倍数）<\/li>
使用示例：

原始参数值：prototype=\/phpStudy\/PHPTutorial\/WWW\/phpMyAdmin\/<\/code><\/li>
处理后参数：prototype=ojRDovcGhwU3R1ZHkvUEhQVHV0b3JpYWwvV1dXL3BocE15QWRtaW4v<\/code><\/li>
直接base64解码为乱码<\/li>
去除前两位后解码可得到正确结果<\/li>
<\/ul>
<\/li>
<\/ol>
注意事项<\/h2>

前缀长度建议设为10位以上，增加分析难度<\/li>
已在PHP类型下测试13个主要功能，确认可用<\/li>
修改位于父类Base<\/code>中，其他类型shell只需按相同模式修改对应模板<\/li>
由于涉及核心payload修改，需充分测试确保无bug后再应用于其他类型<\/li>
<\/ol>
技术原理<\/h2>

base64解码特性<\/strong>：base64解码时每4个字符为一组处理，添加非4倍数长度的随机前缀会打乱解码过程<\/li>
随机性防御<\/strong>：用户自定义长度的随机前缀使WAF难以通过固定规则识别<\/li>
完整加密链<\/strong>：配合强加密型编码器，实现从主payload到参数的全链路保护<\/li>
<\/ol>
扩展应用<\/h2>
该方法可应用于蚁剑支持的各种类型shell，只需按照相同模式修改对应模板文件即可实现参数的随机化处理。<\/p>

蚁剑改造计划：实现其他参数的随机化<\/h1>

具体实现步骤<\/h2>

2. 后端处理<\/h3> 后端通过opts.otherConf["random-Prefix"]<\/code>获取用户定义的随机前缀长度值。<\/p>

扩展应用<\/h2> 该方法可应用于蚁剑支持的各种类型shell，只需按照相同模式修改对应模板文件即可实现参数的随机化处理。<\/p>

2. 后端处理<\/h3>
后端通过`opts.otherConf["random-Prefix"]<\/code>获取用户定义的随机前缀长度值。<\/p>`

扩展应用<\/h2>
该方法可应用于蚁剑支持的各种类型shell，只需按照相同模式修改对应模板文件即可实现参数的随机化处理。<\/p>