Discussione Reverse HTTPS Meta-Stager: mito del payload leggendario sfatato e spiegato al 100%

wesker1998

Utente Electrum
17 Gennaio 2022
127
40
73
114
Qualcuno ha commesso un errore nell'interpretare questo payload come un salva vita, durante un'operazione di pentesting.

Meterpreter Reverse HTTPS è uno dei payload più popolari di Metasploit, tuttavia è decisamente sopravvalutato, in questo topic ne spiegherò dettagliatamente i motivi, e ne descriverò i vantaggi e svantaggi;

PRO:
1. La connessione generata da questo payload può spacciarsi letteralmente per la connessione a un sito, o un dominio internet;
2. Buona parte del traffico è criptato con una versione di SSL/TLS scelta dall'handler, a seconda di quella più conveniente per la specifica situazione (ad esempio, Windows Vista e Windows 7 hanno nativamente abilitato TLS 1.0, quindi l'handler sceglierà TLS 1.0 per criptare il traffico). Ciò significa => minore intercettazione del traffico da parte di fonti esterne, chance di evasione superiori dall'AV.

CONTRO:
1. L'efficienza della connessione stabilita dipende dalla versione di TLS nativa presente sul dispositivo del target. Più il target ha certificati TLS osoleti, peggiori saranno le prestazioni di questo payload. Dai miei test i risultati sono i seguenti.
Windows XP => non funziona nemmeno. Windows XP ha certificati così obsoleti da non risultare neppure vulnerabile a questo payload;
Windows Vista => su Vista abbiamo TLS 1.0, che consente a Meterpreter Reverse HTTPS un blando e basiliare attecchimento. Durante i test ho potuto navigare nei dati di sistema, scansionare l'infrastruttura alla ricerca di vulnerabilità. Tuttavia, altri comandi cruciali, come effettuare screenshot, migrare in altri processi di sistema o fare download, non hanno avuto successo "Rex:: operation timed out". Quest'errore, si verifica quando c'è un problema di connessione fra l'attaccante e il target, in questo caso, dovuto alla semplice retrogradezza di TLS 1.0;
Windows 7 => qui iniziamo già un pochino a ragionare. Windows 7, seppur disabilitati come impostazione predefinita, può usare TLS 1.1 e TLS 1.2 se configurato appositamente;
Windows 8/8.1/10/11: questi sistemi sono moderni, e hanno TLS 1.2 attivo di default. La versione migliore di TLS per Meterpreter Reverse HTTPS infatti, è proprio la 1.2
Il nostro payload funzionerà egregiamente sui sistemi più moderni.

Molti pentester commettono l'errore di credere che questo payload sia il migliore e adatto all'uso in ogni situazione. Usare lo stesso payload più volte e volte al massimo aumenta il rischio di detection, for free... Il payload migliore, è quello più adatto alla situazione che si ha di fronte. Nell'hacking, un buon 70% dell'operazione è information gathering, l'attacco vero è proprio sarà al massimo il restante 20%, almeno a mio parere.