添加出口暴力破解到PowerShell载荷

作者：Robert Schwass

我们都经历过这种情况：精心制作了完美的钓鱼邮件，注册了优质的域名，多处理器设置得完美无缺。然后等待，却什么也没有发生。出口数据包过滤摧毁了所有努力。

虽然有针对这种情况设计的载荷和监听器，通常效果不错，但像我这样的人总希望有更多选择。PowerShell最近成了我的主要工具，因此我决定编写几行脚本，让我能够尝试所有端口，直到找到开放的端口，然后在载荷中使用该端口。

确保为监听器设置自己的主机地址，同时注意$wait变量设置了2000作为超时时间。可以增加这个数字以确保客户端和服务器之间有足够的时间，但这样遍历所有端口的时间会更长，因此请根据需要调整。

在服务器端，我也希望有同样多的选择。无论使用哪种监听器（Metasploit multi/handler，或各种cat工具如nc、ncat、PowerCat、gcat、dnscat等），我都需要一个解决方案，能够处理任何端口传入的反向Shell。IPtables来救援！这一行命令将所有65k及以上的端口转发到我选择的端口（本例中为4444）。

设置IPtables后，启动Metasploit反向TCP监听器。记住使用在iptables命令中指定的端口（4444）。

将第一段代码放在你最喜欢的PowerShell反向TCP载荷前面。我使用社会工程学工具包（SET）生成了我的载荷。只需修改代码以使用在出口循环中设置的IP地址（$address = $Computername），并注释掉下面设置端口的行，因为我已经在出口循环中设置了名为$port的变量。

观察PowerShell运行时，当它击中端口25（这是第一个开放端口到监听器）时，会触发Shell。

这并不新鲜

我知道Metasploit有一个multi/shell/reverse_tcp_allports载荷来监听所有端口。但正如我所说，我们想要灵活性。我们并不总是能使用花哨的Metasploit反向TCP监听器。也许你获得了DMZ中一个旧未使用的开发Web服务器的root访问权限，并想将其用作载荷的着陆点？通常会有一些限制，阻碍安装所有工具。也许你入侵了一个已经运行ncat的盒子，因为用户通过Nmap安装了它。无论什么原因无法使用multi/shell/reverse_tcp_allports载荷，这种技术可能会有所帮助。

使用PowerCat载荷的相同概念

我启动并运行了PowerCat，生成了一个载荷。

这会输出大量代码，但在底部有主函数的执行。这看起来是放置一些变量的好地方。

因此，我将循环放在调用Main函数的上方，以便在其他所有内容之前执行。并将函数调用中的IP地址和端口号更改为我循环中的相应变量。（PowerCat载荷不喜欢PS ISE，所以我使用了Notepad++）

我将此脚本保存为payload.ps1，并启动我的持久netcat监听器。再次使用端口4444。我们必须保持持久性，因为载荷会击中端口两次并会杀死监听器。

然后我执行payload.ps1。

一旦击中端口25（第一个开放端口）……成功！

结论

就这样。几行PowerShell代码和一些iptables，你就有了一种可能暴力破解某些试图阻止出口流量的网络的方法。如果你花时间将代码放在系统上，为什么不添加几行代码来增加获得Shell的机会？即使你能够使用Metasploit Multi/Handler监听器的allports版本，向PowerShell载荷添加一个简单的循环也可以大大增加成功的机会。

研究限制

我针对使用REJECT和DROP数据包的iptables进行了测试，并且它有效。在企业防火墙后面，你可能会遇到不同的结果。

还有其他方法可以使用PowerShell测试开放端口。在我的研究中，我使用的方法允许我进行带超时的完整连接，这似乎效果最好。

*我们喜欢客座文章！想为我们写作吗？使用我们的联系表格告诉我们你的标题和想法的简要摘要。