[burp对蚁剑流量分析问题]

这两天在用burp对蚁剑进行流量分析的学习

蚁剑首先打开代理设置，代理地址和端口配置成burp的

完成后蚁剑随便打开一个文件或者文件夹

burp抓到的包

（code是我蚁剑连接php文件的密码，就是里面设置的传参），另外记住要用个eval函数才能成功连接

把抓到的内容在burp的decode中进行解码

新建一个antsword_decode.php后把解码的内容进行动态调试看看具体是怎么实现的（这里要修改部分内容）

这里说一下实现原理大概就是burp抓到包后把文件路径进行一个base64编码并且赋值给一段生成的随机数，我们要调试的话需要进行几个地方的修改

1.把随机值改成变量，把base64编码后的文件路径加上''（这里burp会在最后==之前加个空格也要注意删了）

2. 去掉code

3.把$_POST这里改成随机值那个变量

未修改前的代码

code=@ini_set("display_errors", "0");@set_time_limit(0);function asenc($out){return $out;};function asoutput(){$output=ob_get_contents();ob_end_clean();echo "cd2d26a47";echo @asenc($output);echo "73bc309";}ob_start();try{$F=base64_decode(substr($_POST["k4c2502ec41331"],2));$P=@fopen($F,"r");echo(@fread($P,filesize($F)?filesize($F):4096));@fclose($P);;}catch(Exception $e){echo "ERROR://".$e->getMessage();};asoutput();die();&k4c2502ec41331=xpRDovcGhwc3R1ZHlfcHJvL1dXVy90ZXN0LnBocA==

动态调试

这里出现了问题，我发现base64解码后的字符串生成了乱码

这里base64编码后的字符串是下面的

xpRDovcGhwc3R1ZHlfcHJvL1dXVy90ZXN0LnBocA==

而我们在把我们打开文件的路径base64解码应该是

RDpccGhwc3R1ZHlfcHJvXFdXV1x0ZXN0LnBocA==

问题就出在这里，我发现他们很多内容是相似的

最后解决调试时路径乱码：

所以我尝试把burp抓到的base64编码后的路径

xpRDovcGhwc3R1ZHlfcHJvL1dXVy90ZXN0LnBocA==

前名的xp两个字符删除发现他是我们想要的路径，这里应该是正反斜杠的问题，但是我也不知道为什么不能直接base64解码出来，所以再以后分析蚁剑流量时注意除了修改上面的代码以外，还要把burp编码后的字符前两位删除

路径成功解码，不再出现乱码