Metasploit雲主機監聽失敗緣由

聲明： 該公衆號大部分文章來自做者平常學習筆記，也有少部分文章是通過原做者受權和其餘公衆號白名單轉載，未經受權，嚴禁轉載，如需轉載，聯繫開白。 請勿利用文章內的相關技術從事非法測試，如所以產生的一切不良後果與文章做者和本公衆號無關。 全部話題標籤： #Web安全   #漏洞復現   #工具使用   #權限提高 #權限維持   #防禦繞過   #內網安全   #實戰案例 #其餘筆記   #資源分享   #MSF

0x01 前言

咱們在實戰滲透測試中時常會用到公網MSF來反彈一個shell或meterpreter，記得有幾回在朋友的阿里雲主機上用hta_server、web_delivery這兩個模塊進行監聽時怎麼都獲取不到會話，可是用EXE的攻擊載荷又能夠，當時還覺得是MSF版本的問題，也沒有去研究其監聽失敗的緣由，相信不少新手朋友可能都有遇到過這個問題吧！

0x02 公網/內網IP的區別

阿里/騰訊雲主機在開通後會給咱們分配一個公網IP和一個內網IP，公網IP用於域名解析、遠程鏈接SSH/RDP服務等，內網IP主要用於跟當前賬號下的其餘同集羣機器通訊。

阿里雲分配的公網和內網IP均可以向公網上任意機器發送請求鏈接，但咱們不能直接向阿里雲的內網IP發送請求鏈接。

0x03 雲主機監聽失敗緣由

阿里雲主機上用MSF生成EXE攻擊載荷必須填寫公網IP，但監聽時可使用內網IP，由於咱們是能夠與目標機器進行通訊的。

但爲何在hta_server、web_delivery這兩個模塊監聽時用內網IP就不行了呢？這裏筆者以web_delivery爲例來進行簡單分析演示，生成一個Powershell Payload。

將Powershell Payload的Base64編碼提取出來用certutil命令解碼看一下就知道其緣由了，使用這種無落地文件遠程執行Payload時，由於監聽IP爲內網IP，生成的遠程Payload地址也爲內網IP，因此在目標主機上執行時會由於訪問不到咱們阿里雲的內網IP而執行失敗，致使沒法獲取會話。

certutil -decode encode.txt decode.txt

這裏我也嘗試了將SRVHOST修改成公網IP，SRVPORT修改成其餘端口，可是在執行exploit時仍是會出現 [-] Exploit failed [bad-config]: Rex::BindFailed The address is already in use or unavailable: (39.96.9.238:8888). 報錯。

朋友@小西補充：

hta_server、web_delivery這兩個模塊是主動鏈接MSF在阿里雲服務器上運行的服務，因此必須設置公網IP，雖然MSF提示了綁定公網失敗，但實際上服務已是開放在公網了。

0x04 雲主機監聽解決方案

解決方案其實也很簡單，在使用hta_server、web_delivery這兩個模塊時只須要將監聽IP設置爲公網IP便可，雖然在執行exploit時也會出現 [-] Handler failed to bind to 39.**.**.238:443:-  - 報錯，但不會影響咱們獲取Meterpreter會話。

只需在公衆號回覆「HackTheBox」關鍵字便可領取一套HTB靶場的學習文檔和視頻，你還在等什麼？？？

---

【往期TOP5】

星外虛擬主機提權實戰案例

MSSQL繞過360提權實戰案例

繞過360安全衛士提權實戰案例

記一次因「打碼」不嚴的滲透測試

TP-RCE繞過阿里雲防禦Getshell

本文分享自微信公衆號 - 貝塔安全實驗室（BetaSecLab）。
若有侵權，請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」，歡迎正在閱讀的你也加入，一塊兒分享。