Discussione Malware Differenze tra reverse_tcp e reverse_http

[clouz1997]

Salve, da non molto tempo, sto esplorando questo fantastico mondo, ho tanti dubbi da risolvere
Ad esempio vorrei capire quale sia la differenza tra reverse_tcp e reverse_http,
C'è sempre il file exe da consegnare alla vittima? È possibile lanciare una sessione di metasploit senza che la vittima apra il file exe infetto, ma aprendo magari un sito infetto..?

 

[0xbro]

Non so bene con http, ma posso dirti che la differenza tra reverse_tcp e reverse_https sta nel fatto che il payload rimanda il collegamento all'attaccante su porte differenti: Https difatti userà la porta 443. Questo viene fatto per superare eventuali firewall o altri sistemi di sicurezza, poichè con il reverse_https il traffico risulterà appunto come pacchetti HTTPS, dunque sicuri, e quindi saranno meno controllati.
Se ti va una lettura più approfondita, in inglese, puoi dare un occhio qua: http://buffered.io/posts/staged-vs-stageless-handlers/
Per la seconda domanda sì, è possibile inserire del codice malevolo in una pagina affinchè chiunque la visiti lo esegua!

 

[clouz1997]

Grazie per il materiale.
Posso sapere qualcosa di più su questo codice malevolo di qui parli?
Posso seguire la sessione da metasploit?

 

[0xbro]

Certamente, il tutto è uguale a un tipico reverse_*, solo che lo richiami da php/meterpreter/ e anzichè creare un eseguibile crei una pagina .php. Dopodichè avvii il il listener e aspetti che la vittima visiti l'url!
Ti linko un esempio, che sicuramente sarà più chiaro e dettagliato


A buon rendere!