XSS → RCE 的安全漏洞，存在于 AntSword v2.1.15 中。攻击者可通过构造恶意的服务端响应，在虚拟终端中注入可执行的 JavaScript 链接，由于 Electron 启用了 nodeIntegration: true，用户点击后可直接执行任意系统命令。

漏洞类型：反射型 XSS + Electron RCE利用条件：需要用户主动点击终端中的链接（1-click 交互）危害等级：高危（可执行任意命令，可进行反连）

https://github.com/AntSwordProject/antSword/issues/370

     环境准备：客户端 (运行AntSword)，服务端 (恶意WebShell)，蚁剑(版本v2.1.15及以下)

      在服务端的根目录下放入php脚本，在php.ini配置 PHP 自动前置加载这个脚本

      蚁剑连接后，打开终端显示蚁剑需要更新(我们的钓鱼信息)，攻击者点击下面的链接执行弹出clac命令(可以配合msf+cs进行钓鱼网站，反连)

     php脚本

     重点在php脚本的这一行

jquery.terminal 格式码

     jquery.terminal 支持一种类似 BBCode 的内联格式化语法：

[[b;color;background]Bold colored text][[!;;;;url]{Display text}]

    关键语法字符是 [ ] ; ! : ——全部不在 noxss() 的转义范围内。

    当 term.echo() 接收到包含这些格式码的字符串时，jquery.terminal 会将其解析并渲染为 HTML DOM 元素。特别是链接格式码：

[[!;;;;javascript:void(...)]{Click me}]

会被渲染为：

<a href="javascript:void(require(`child_process`).exec(`calc.exe`))">Click me</a>

    这就绕过了 HTML 层面的 XSS 防御，因为恶意内容从来没有以 HTML 标签的形式出现过——它是以 jquery.terminal 格式码的形式注入，由库自身转换为 DOM

因 PHP 脚本篇幅较长，需复现该漏洞的师傅，后台回复【AntSword】即可获取完整脚本