文章总结： 文档披露AntSwordv2.1.15存在高危XSS转RCE漏洞，攻击者通过恶意服务端响应在虚拟终端注入jquery.terminal格式码，绕过noxss过滤渲染为JavaScript链接。因Electron启用nodeIntegration配置，用户点击后可执行任意系统命令，实现1-click反连攻击。漏洞本质是过滤策略与解析器语法不匹配导致的安全缺陷，需关闭危险配置或严格校验终端输出内容。 综合评分： 84 文章分类： 漏洞分析,WEB安全,红队,渗透测试,安全工具

AntSword |蚁剑 高危漏洞：XSS 转 RCE 终端注入可执行系统命令

原创

three安全之路 three安全之路

three安全之路

2026年5月7日 09:43 四川

在小说阅读器读本章

去阅读

本公众号（three安全之路）所发布的技术文章、工具及研究内容均仅供参考，所提供的信息仅面向网络安全从业者、授权安全测试人员，用于其负责的网络资产、信息系统及相关设备的安全防护工作。任何使用者利用本公众号提供的技术信息、工具或方案，所造成的直接或间接后果、经济损失及法律责任，均由使用者本人自行承担，本公众号及作者不承担任何连带责任。

| | | | — | — | | 1 | 漏洞概述 |

XSS → RCE 的安全漏洞，存在于 AntSword v2.1.15 中。攻击者可通过构造恶意的服务端响应，在虚拟终端中注入可执行的 JavaScript 链接，由于 Electron 启用了 nodeIntegration: true，用户点击后可直接执行任意系统命令。

漏洞类型：反射型 XSS + Electron RCE 利用条件：需要用户主动点击终端中的链接（1-click 交互） 危害等级：高危（可执行任意命令，可进行反连）

https://github.com/AntSwordProject/antSword/issues/370

| | | | — | — | | 2 | 漏洞复现 |

     环境准备：客户端 (运行AntSword)，服务端 (恶意WebShell)，蚁剑(版本v2.1.15及以下)

      在服务端的根目录下放入php脚本，在php.ini配置 PHP 自动前置加载这个脚本

      蚁剑连接后，打开终端显示蚁剑需要更新(我们的钓鱼信息)，攻击者点击下面的链接执行弹出clac命令(可以配合msf+cs进行钓鱼网站，反连)

| | | | — | — | | 3 | 技术实现 |

php脚本

重点在php脚本的这一行

jquery.terminal 格式码

#

     jquery.terminal 支持一种类似 BBCode 的内联格式化语法：

[[b;color;background]Bold colored text]
[[!;;;;url]{Display text}]

    关键语法字符是 [ ] ; ! : ——全部不在 noxss() 的转义范围内。

    当 term.echo() 接收到包含这些格式码的字符串时，jquery.terminal 会将其解析并渲染为 HTML DOM 元素。特别是链接格式码：

[[!;;;;javascript:void(...)]{Click me}]

会被渲染为：

<a href="javascript:void(require(`child_process`).exec(`calc.exe`))">Click me</a>

这就绕过了 HTML 层面的 XSS 防御，因为恶意内容从来没有以 HTML 标签的形式出现过——它是以 jquery.terminal 格式码的形式注入，由库自身转换为 DOM

| | | | — | — | | 4 | 涉及代码位置 |

#

| | | | | — | — | — | | 文件 | | 说明 | | source/app.entry.js | | noxss() 函数定义，过滤逻辑 | | source/modules/terminal/index.js | | term.echo(antSword.noxss(output, false))，终端输出 | | source/modules/terminal/index.js | | Banner 中同样使用 noxss 包裹系统信息 | | app.js | | nodeIntegration: true，RCE 的根本条件 |

#

| | | | — | — | | 5 | 总结 |

这是一个典型的过滤策略与解析器不匹配导致的安全问题。noxss() 只考虑了 HTML 实体编码，却忽略了上层富文本格式码的语法字符。再加上 Electron nodeIntegration: true 的危险配置，使得原本只是一个 XSS 的问题直接升级为 RCE。这也提醒开发者：在 Electron 应用中，XSS 不等于“只是弹个框”，在 nodeIntegration 开启的情况下，XSS 就等于拿到了系统的 shell

因 PHP 脚本篇幅较长，需复现该漏洞的师傅，后台回复【AntSword】即可获取完整脚本

three安全之路圈子介绍

three安全纷传圈子+toposcan一年工具+three安全漏洞库+thre安全面试题库简单介绍+圈子交流群（加入纷传圈子送toposcan工具+漏洞库+面试题库+内部群）

如果觉得合适可以加入,圈子目前价格39.9元，首批送9.9优惠价，价格只会根据圈子内容和圈子人数进行上调，不会下跌。。。

后台回复【小圈子】获得优惠卷

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：three安全之路 three安全之路 three安全之路《AntSword |蚁剑 高危漏洞：XSS 转 RCE 终端注入可执行系统命令》