rani27-bipo/reverse-shell-lab

GitHub: rani27-bipo/reverse-shell-lab

一个隔离环境中的反向 Shell 教学实验,演示 Metasploit 攻击全链路及 Blue Team 检测分析方法。

Stars: 0 | Forks: 0

# Reverse Shell — Metasploit / Meterpreter 与后渗透 ## ⚠️ 免责声明 本实验完全在隔离环境中进行(攻击者 VM Parrot OS + 受害者 Windows 10 VM,使用 host-only 网络)。未针对任何 真实系统。目的仅用于教学。 ## 目标 演示使用 Metasploit Framework 进行 reverse shell 攻击的完整链路: 生成 payload、投递、获取 Meterpreter 会话,以及后渗透(系统 侦察、屏幕截图、键盘记录)。随后分析 Blue Team 如何检测每个步骤。 ## 环境 | 角色 | 系统 | IP | |---|---|---| | 攻击者 | Parrot Security OS (Metasploit Framework) | 192.168.106.128 | | 受害者 | Windows 10 22H2 | 192.168.106.133 | ## 方法论 ### 1. 初始网络侦察 从攻击机器检查网络配置以及到目标的连通性。 ![侦察](https://static.pigsec.cn/wp-content/uploads/repos/cas/3b/3b31436b609d05149a92e5d10cd2d50dd8920c443684729fc70a510fe98e2d85.png) ### 2. Payload 的生成与投递 使用 `msfvenom` 生成 `windows/meterpreter/reverse_tcp` payload,并通过 Python HTTP 服务器公开供受害者 下载。 ![生成 payload](https://static.pigsec.cn/wp-content/uploads/repos/cas/3e/3ea89ffb19e9bc8af0ff602a0f677ee7b134c7ec9cfc67f7f4ae8085f97b5e06.png) ### 3. 受害者侧验证 在执行 payload 之前,确认受害者与 攻击者之间的网络连通性。 ![受害者验证](https://static.pigsec.cn/wp-content/uploads/repos/cas/b5/b5c1e1d4ad9d25620d1f3c5dc0d0890916404def0bea6627fd1a919cb1e2db18.jpg) ### 4. 配置 MSGRPC 服务 启动 `msfrpcd` 以允许与 Metasploit 框架进行远程交互。 ![配置 MSGRPC](https://static.pigsec.cn/wp-content/uploads/repos/cas/38/3855ce03be35ca611aa02dd8a70e498931e7af3d482f30e86132b2d4f5d240bc.png) ### 5. 通过 RPC 连接到 msfconsole 在 `msfconsole` 中加载 `msgrpc` 插件,以便通过 RPC API 控制框架。 ![RPC 连接](https://static.pigsec.cn/wp-content/uploads/repos/cas/1e/1ebe09a7173d11924a3a4be8b5e6f513c32dd3c76556f118dfca28e9682b309e.png) ### 6. 配置监听 handler 使用与生成的 payload 对应的 payload、地址 (`LHOST`) 和监听端口 (`LPORT`) 配置 `exploit/multi/handler` 模块。 ![配置 handler](https://static.pigsec.cn/wp-content/uploads/repos/cas/7b/7ba0283ebaa49a87ecd025e41f1f1b67dda2c700e2ff0df915cdc502a86890e2.png) ### 7. 验证 handler 选项 ![handler 选项](https://static.pigsec.cn/wp-content/uploads/repos/cas/50/5012231ca60153e1803d1c866d92e19cc4cc8a8c70cbd3514e1445d521e5088a.png) ### 8. 启动监听并获取会话 handler 在后台运行。一旦在受害者侧执行 payload,Meterpreter 会话就会建立。 ![获取会话](https://static.pigsec.cn/wp-content/uploads/repos/cas/58/58984254f757690f1f706e87c7a6d753e1071a66dfef520916d32271f4460dd5.png) ### 9. 后渗透侦察 与会话交互:系统信息 (`sysinfo`)、 受损用户身份 (`getuid`)、远程屏幕截图。 ![Sysinfo](https://static.pigsec.cn/wp-content/uploads/repos/cas/1e/1ef9dd2e738970b151131da63522c54ff7f2fbff9390357810de9cd44533a72a.png) ### 10. 交互式 Shell 通过 Meterpreter 会话开启远程 `cmd.exe` shell。 ![交互式 Shell](https://static.pigsec.cn/wp-content/uploads/repos/cas/23/23e199516ab0a25cce30af912e0eccbddc45ebbaa918ebba75ff0fa40a5c89fc.png) ### 11. 高级后渗透 — 键盘记录 展示监控能力:尝试访问 网络摄像头,然后激活键盘记录器(`keyscan_start` / `keyscan_dump`)以说明静默间谍活动的风险。 ![键盘记录器](https://static.pigsec.cn/wp-content/uploads/repos/cas/77/77976cebe4d41d52d0017eccb9a33de30168dbab4176081f308254c59aefe837.png) ## 分析 — 攻击链 (Cyber Kill Chain) | 步骤 | Kill Chain | 执行的操作 | |---|---|---| | 1 | Weaponization | 使用 msfvenom 生成 payload | | 2 | Delivery | 模拟文件分发的 HTTP 服务器 | | 3 | Exploitation | 在受害者侧执行 payload | | 4 | Installation | 建立 Meterpreter 会话 | | 5 | C2 | 作为命令和控制信道的 Metasploit handler | | 6 | Actions on Objectives | 侦察、屏幕截图、键盘记录 | ## 检测 — Blue Team / SOC 视角 - **EDR/Antivirus**:从临时文件夹 (`AppData\Local\Temp`) 启动未签名的可执行文件 (`update.exe`) 是一个强有力的指标;优秀的 EDR(Defender for Endpoint、CrowdStrike 等)会阻止或就此模式发出警报 - **网络**:通过非标准端口 (4444) 持续连向未知内部 IP 的传出流量——典型的 beaconing/C2 迹象 - **进程**:`cmd.exe` 作为可疑二进制文件的子进程启动,且该文件位于常规系统目录之外 - **行为**:激活 `keyscan_start` 对应于 `SetWindowsHookEx` / `GetAsyncKeyState` 类型的 API 调用,可被行为 EDR 检测到 - **Sigma 规则(示例)**:检测从 `%TEMP%\MicrosoftEdgeDownloads\...` 启动的子进程 `cmd.exe` 或 `powershell.exe` ## 修复建议 1. 阻止从 Temp/Downloads 目录执行未签名的二进制文件 (AppLocker, WDAC) 2. 对非标准端口进行出站过滤 (egress filtering) 3. 部署具有行为检测能力的 EDR(不仅是基于特征码) 4. 用户意识培训:切勿执行从未经验证来源下载的可执行文件 5. 通过 EDR 监控敏感的 API 调用(键盘钩子、屏幕截图) ## 展示的技能 `Metasploit Framework` `Meterpreter` `Payload 生成` `后渗透` `Cyber Kill Chain 分析` `EDR 检测` `Detection Engineering (Sigma)` ## 使用的工具 Parrot Security OS · Metasploit Framework · msfvenom · msfconsole · Windows 10
标签:Go语言工具, 安全教育, 库, 应急响应, 无线安全, 逆向工具