严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。
很多时候对目标进行渗透时一般会从web、网络设备、针对性钓鱼这三个方向入手。假设我们控制了目标网络中的一台网络设备,如路由器,内网用户流量会从这个地方经过我们怎么获取其权限呢?
这种时候可以在路由器上抓包分析用户流量,比如启动xshell、notepad++等软件时发送的更新请求包,然后我们替换软件更新的http响应包达到植入木马目的。
分析流量一般用tcpdump,如果只有路由器后台权限没有地方可以执行命令的话可以用DNS服务器配合HTTP代理来截获流量。
这里就演示一下去劫持软件更新服务器达到植入木马的目的
为了方便演示这里将受害者机器上的DNS改为攻击者IP
下载sqlmap项目提取sqlmap\sqlmap-stable\lib\request目录中的dns.py
执行看看效果
在用户机器上ping了一下,DNS服务器这边已经成功接收域名解析请求并响应127.0.0.1
但是这个脚本中把所有域名解析请求都响应成127.0.0.1
需要修改一下
我们的需求是能够正常解析域名,再对某些指定域名进行劫持。
修改后代码如下
这个脚本的功能是将用户的DNS请求转发给GOOGLE的DNS服务器使用户能够正常上网,然后再对指定域名做劫持
可以看到现在用户已经可以正常上网了
然后部署HTTP代理服务器
代码我已经写好了
这里的功能是收到用户的HTTP请求后直接响应一个二进制文件,也就是我们的木马
效果如下
很多软件更新时都走的https所以我们还需搭建https代理服务器
搭建HTTPS代理服务器
代码如下
执行openssl req -new -x509 -keyout https_svr_key.pem -out https_svr_key.pem -days 3650 -nodes 可以生成证书
搭建好后配置木马,这里就用msf做演示
然后看一下xshell的更新请求
域名是cdn.netsarang.net,看一下流量
可以看到是走的https
在dns服务器中添加如下
架设https服务器
运行脚本和msf监听
视频效果图
1.可以针对firefox等自动更新或后台静默更新的这类应用程序进行流量替换,这样成功率会很高被发现可能性也小
2.当更新包请求是https时需要注意证书问题,可以尝试利用cname绕过,比如在dns服务器上把www.baidu.com重定向到www.exploit.com,我们有www.exploit.com的合法证书这样就不会报错.
3.在路由器上修改DNS也可以作为一种持久性控制的手段,某天权限不慎丢失了,继续植入就行了。
*本文原创作者:R1ngk3y,本文属FreeBuf原创奖励计划,未经许可禁止转载