antsword入门级攻击——一句话木马

最近接触到木马攻击，打算用antsword来测试。https://github.com/AntSwordProject/antSword 是官网地址，里面有链接到说明文档 https://www.yuque.com/antswordproject/antsword/lmwppk。按照说明安装完成后，我遇到3个问题：

1. 是否需要设置代理？
   答：AntSword 自 v.1.1.2 版本起内置了代理功能，默认「不使用代理」，你可以根据自己的网络情况，设置使用代理连接Shell。
2. 添加数据时密码设置成什么？
   答：一句话木马里POST后面是什么，密码就设置成什么。
3. 编码设置什么？
   答：编码器不要选不推荐的default和random. 解码器可以用default.

https://www.yuque.com/antswordproject/antsword/qg3g73说明文档中提到的“在目标服务器的Web目录下新建一个Shell,以 PHP 为例”。这里的“目标服务器”可不是任意一个webServer就可以的。我最开始在服务器上开了个标准的nginx，然后把一句话脚本添加到/var/www/html目录下，结果测试连接的时候总是报405 MethodNotAllowed错误。这里使用PHP语言，因此需要一个PHP写的webServer. 所以，我后面安装了一个DVWA环境，它自动网页。安装步骤如下：

1. docker pull vulnerables/web-dvwa
2. docker run --rm -it -p 80:80 vulnerables/web-dvwa （启动80端口监听，保证80端口未被占用）
   访问 http://<运行dvwa的主机IP> 即可看到网页，首先需要创建数据库，然配置DVWA Security为LOW级别。接下来，上传一句话木马脚本，注意，不能用页面上的FileUpload,因为文件会被上传到容器的/var/www/html/hackable/uploads/目录下，而不是/var/www/html/目录下。因此需要手动操作(例如用docker cp命令拷贝文件到容器内部)。然后再按照文档的那样添加antSword数据，URL端口就是DVWA web server端口，这里是80端口，像这样 http://<运行dvwa的主机IP>/ant.php
   另外，有一个TIP,在window写一句话脚本是保存不下来的，会被windows自动删除，我关了病毒防御也不行。所以，可以保存在linux系统上，然后共享到windows.

题外话：

1. WAF（Web Application Firewall，Web 应用防护系统）：WAF 说白了就是应用网关防火墙的一种，它只专注于 Web 安全的防御，近几年来逐渐被当成一个相对独立的产品方向来研究。区别于传统意义上的防火墙，WAF 的本质是“专注于 Web 安全的防火墙”，Web 安全关注于应用层的 HTTP 请求。因此，WAF 的分析和策略都工作于应用层。WAF有三种工作模式分别是：透明代理、反向代理和插件模式。

• 透明代理就是直接转发请求和流量，在这个过程中，为了解密 HTTPS 流量，WAF 必须和服务端同步 HTTPS 对称密钥。
• 反向代理要求客户端将请求的目标地址指向 WAF，而不是服务端。反向代理 WAF 本质上是一个 Web 服务，所以 HTTPS 证书可以直接部署在 WAF 上。WAF 在对 HTTPS 流量解密之后，就可以在内网中用 HTTP 的形式，向服务端发起代理请求了。
• 在插件模式中，WAF 不再是网络中一个独立的安全产品了，而是以插件的形式依附于 Web 服务端本身，为 Web 安全提供防护。怎么才能将 WAF 植入到服务端的逻辑中呢？我们最常使用的一种技术就是AOP（Aspect Oriented Programming，面向切面编程）技术。在 AOP 技术中，WAF 可以作为一个切片植入到服务端的逻辑中。