长亭百川云 - 文章详情

长亭百川云

技术讨论漏洞库IP 威胁情报在线工具

如何改造 MSF Meterpreter

CT Stack

49

2021-12-14

原文链接

前言

Metasploit-Framework和Cobalt Strike是当前红队模拟中最流行的两款渗透平台.Metasploit-Framework使用Meterpreter作为其后渗透工具,Cobalt Strike对应的工具是Beacon.
在用户口碑和实际使用情况来看,Cobalt Strike的Beacon更受国内用户的青睐.除了Cobalt Strike提供友好的图形界面这一因素,大多数用户都认为Beacon相较于Meterpreter更加稳定,权限不容易丢失.

Meterpreter与Becaon的差异在哪里

这里我们选取实战中最常用的windows/beacon_http/reverse_https(Cobalt Strike)和windows/meterpreter/reverse_https(Metasploit-Framework)进行比较

核心库加载

两者都支持stager和stagerless两种方式加载payload,实现方式也基本一致.

  • Meterpreter的加载顺序: stager--> metsrv.dll -->stdapi.dll
  • Becaon的加载顺序:stager-->beacon.dll

可以看出同样可以执行基本命令时,Meterpreter需要多加载一个stdapi.dll文件.

C2实现方式

这里的C2指的是Meterpreter的Hander和Beacon的Listener.

  • Meterpreter的handler实现: TCPServer结合resources实现的简易http服务
  • Beacon的Listener实现: 基于NanoHTTPD实现.

相较于成熟的NanoHTTPD,自行实现的http服务可能在稳定性上有一定的劣势.

通讯协议

两者都使用https进行数据通讯,但在具体的传输方式上存在差异.

  • Meterpreter使用Http1.1,默认使用keep-alive功能,且不能关闭.
  • Beacon使用Http1.1,默认不开启keep-alive功能.

具体的表现为在实际使用过程中,Meterpreter与C2服务器始终保持一条TCP连接,且对TCP连接的状态没有监控.
相对应的Beacon在请求任务/返回结果时会与C2建立连接,而在sleep阶段与C2没有网络连接.

如何改造Meterpreter

核心库加载优化

核心库加载的改造是最简单的,或者说算不上改造.Metasploit-framework本身支持不自动加载stdapi.dll,只要在生成Handler时间AutoLoadStdapi参数设置为False就可以.

此时如果有payload连接该监听,效果如下:

具体表现是该Session很像一个假session,我们需要进入meterpreter然后执行load stdapi手动加载核心库.
此时该Session就可以正常使用了.

C2实现方式优化

Meterpreter自行实现简易的http服务,笔者认为主要有以下几点考虑:

  • 实现reverse类型的hander代码上的统一
  • 更加灵活的进行服务启动/关闭
  • 更好的与Rex::Socket库进行结合(Rex::Socket实现了内网路由这一核心功能)

所以我们能做的就是修复http服务在各种场景上出现的问题(Bug)
举个例子:
如果你在VPS建立一个reverse_https的handler且端口为443这种常用端口,你就会发现有很多扫描器会扫描你的handler,导致出现很多无效的网络连接,如果你碰巧还没有设置LURI,那还会产生很多的假Session.
具体原因在于如下一段代码:
https://github.com/rapid7/metasploit-framework/blob/master/lib/rex/proto/http/server.rb#L372

可以看出对于非法请求,虽然MSF会返回404页面(372行),但是如果对方设置keep-alive header,MSF就不会主动关闭该TCP连接,导致端口上出现很多无效的网络连接,进而影响真正的payload连接.
而解决这个Bug的代码如下:

也就是非法请求默认关闭连接.

通讯协议改造

笔者认为这是两者最大的差别,也是导致meterpreter看上去不稳定的直接原因.
我们希望改造以后的Meterpreter逻辑是这样的:

  • 在数据加载阶段,使用keep-alive长连接,保持传输速度
  • 在休眠阶段,使用短链接,保持隐蔽,并且可以在网络连接闪断时可以自动恢复(http短链接特性)

具体需要修改如下代码:
https://github.com/rapid7/metasploit-payloads/blob/master/c/meterpreter/source/metsrv/server_transport_winhttp.c#L157

这个函数用于http请求,改造后的代码如下

我们在代码中增加额外的判断,如果心跳间隔(delay)大于3秒,则关闭keep-alive功能.

心跳抖动特性

Cobalt Strike的心跳是可以增加抖动功能的,也就是说sleep时间并不是一个固定值,而是在一个范围内浮动,结果就是Beacon请求C2的时间是随机的,可以在一定程度上规避检测.
meterpreter也可能通过修改源代码的方式支持这种特性,代码如下:
https://github.com/rapid7/metasploit-payloads/blob/master/c/meterpreter/source/metsrv/server_transport_winhttp.c
其中ecount是心跳增长因子,max_delay是最大心跳间隔,我们通过在这两个值上增加随机数,就实现了心跳抖动功能.

工程化实现

文章中涉及的所有代码定制化更改已经合入到如下仓库
https://github.com/FunnyWolf/vipermsf

相关推荐
热门产品
雷池 WAF 社区版
IP 威胁情报
网站安全监测
百川漏扫服务
云堡垒机
百川云
技术文档
开发工具
漏洞库
网安百科
安全社区
CT STACK 安全社区
雷池社区版
XRAY 扫描工具
长亭科技
长亭科技官网
万众合作伙伴商城
长亭 BBS 论坛
友情链接
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服
Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2