AntSword v2.0.6
后端模块
- 分块传输自动根据黑名单字符(eg: eval, assert, execute, response 等)进行随机切割(thx @phith0n)
数据库管理
- 新增「测试连接」功能
- 新增「检测」功能, 检测支持的数据库函数(目前仅 PHP,ASP,ASPX 有效, ASP(X)仅检测使用到的组件是否存在)
- 新增 php
sqlsrv连接方式, php5.3之后 mssql 默认不存在,可使用该类型连接 sqlserver >= 2008
如果直连shell本地sqlserver, host 部分填 localhost 或者 (local)
如果连接外部,使用 ip,port
- 新增 php
oracle_oci8连接方式, 用于连接 oracle 8i,9i,10g,11g,12c
host 部分填写: localhost/orcl 或者 localhost:1521/orcl
参考: http://php.net/manual/zh/function.oci-connect.php connection_string 部分
- 新增 PHP PostgreSQL 类型数据库操作
- 新增 PHP PostgreSQL_PDO 类型数据库操作 #133 (thx @B0y1n4o4)
- 优化 asp(x) Oracle 类型数据库操作
- 优化 asp(x) SQLServer 类型数据库操作
- 优化SQLServer类型数据库默认查询语句
- php数据管理解析数据时自动猜解编码
文件管理
- 新增「在此处打开终端」功能, 打开终端后快速跳到当前目录下
- 新增「全局书签」功能, 可在「系统设置-默认设置」单击鼠标右键添加
数据管理
- shell 配置页面提示不推荐使用 default、random 编码器, 明文传输 Payload 容易受到转义等影响,未来版本将会考虑移除
- 新增「创建副本」菜单, 复制所选择的 Shell 并在相同分类下创建一个副本
- 新增「搜索数据」功能, 搜索本地数据,范围为当前分类下的 Shell
可选搜索字段: URL(URL地址), Password(密码), Remark(备注), All(在以上几个字段中出现)
如果想搜索其它类型的字段, 可直接在类型框中输入想要搜索的字段
例如搜索 IP地址, 可在搜索字段选择框中输入: ip
具体字段类型名请直接查阅 antData/db.ant
唤醒快捷键 Ctrl+Shift+F 或者 Command + Shift + F (OSX)
退出:
-
点击搜索框之外的任何区域
-
按下
ESC键 -
再次按下唤醒快捷键
在使用快捷键时,如果当前活动 tab 不是数据管理,则会自动跳回数据管理
其它
- 新增 「JSP Custom Shell For Oracle」
- 新增 Decodes 自动猜解编码,在中文少量的情况下,成功率会降低
- 系统托盘新增「重启应用」菜单
- 虚拟终端打开后提示本地命令菜单 ashelp
BugFix
- 修复 asp(x) sqlserver 获取列名,执行自定义SQL语句的异常
- 修复 php mssql 获取列名,执行自定义SQL语句异常
- 修复部分 self-xss 引起的体验问题