前言

我們在用Metasploit進(jìn)行滲透測試時經(jīng)常會遇到這樣的情況，已經(jīng)成功執(zhí)行了Payload，但始終獲取不到會話。這篇文章就來給大家講一下獲取不到會話的一些常見原因，已經(jīng)知道了問題所在，至于要怎么解決就看大家自己的了，該繞的繞，該免殺的免殺！

一般常見情況有：

1、直接獲取不到會話；

2、獲取到會話后自動斷開；

3、獲取到會話但是卡住不動了。

(1) 快速判斷Metasploit會話完整性

如果直接通過瀏覽器訪問監(jiān)聽IP:Port，或者是在獲取會話的過程中按Ctrl+C鍵強制結(jié)束掉了，這時我們獲取到的會話可能都是不完整的，即使成功得到了會話，進(jìn)去之后會發(fā)現(xiàn)很多命令都執(zhí)行不了。 這時可以通過session命令來快速判斷我們得到的會話完整性，如果“Information”列中為空白則是不完整，反之則完整。

(2) Payload與目標(biāo)系統(tǒng)架構(gòu)不一樣

這里說的系統(tǒng)架構(gòu)不一樣是因為我們生成的Msf Payload是x64，而目標(biāo)系統(tǒng)是x86，在執(zhí)行Payload過程中會出現(xiàn)“不是有效的Win32應(yīng)用程序”報錯，所以無法獲取到會話。 這種情況一般出現(xiàn)在XP/2003機器上，不過x86的Payload可以在x64上成功運行，不存在兼容性問題。

(3) Payload與監(jiān)聽模塊設(shè)置不一樣

我們生成的Msf Payload是x86的，但是在handler監(jiān)聽模塊里設(shè)置的Payload為x64時就會出現(xiàn)這種會話自動斷開的情況。 不過在這種情況下如果Payload是可執(zhí)行的，我們只需要將handler監(jiān)聽模塊里設(shè)置的Payload改為對應(yīng)的x86即可解決。 重點注意：

1、目標(biāo)系統(tǒng)架構(gòu)；

2、Msfvenom生成Payload；

3、handler監(jiān)聽模塊Payload。

(4) 目標(biāo)配置系統(tǒng)防火墻出入站規(guī)則

有時會遇到這樣的情況，即使我們生成的Msf Payload、handler監(jiān)聽模塊Payload和目標(biāo)系統(tǒng)架構(gòu)都是相對應(yīng)的，但在執(zhí)行Payload時仍然獲取不到會話。

這可能是因為目標(biāo)已開啟Windows自帶防火墻并設(shè)置了出入站規(guī)則，也有可能是被其它流量監(jiān)測類的安全設(shè)備所攔截，可以通過netstat -ano命令來查看我們執(zhí)行的Payload與目標(biāo)機器建立的網(wǎng)絡(luò)連接狀態(tài)是否為SYN_SENT？

SYN_SENT的幾種常見情況：

1、MSF里沒有監(jiān)聽；

2、Windows系統(tǒng)防火墻；

3、其它的安全設(shè)備等。

(5) VPS配置系統(tǒng)防火墻出入站規(guī)則

記一次與朋友@Sin在他的Centos VPS上做測試時發(fā)現(xiàn)獲取不到會話，在經(jīng)過排查之后發(fā)現(xiàn)問題出在“寶塔防火墻”，其實也就是Centos自帶防火墻，在寶塔安裝過程中會自動配置系統(tǒng)防火墻，默認(rèn)規(guī)則只允許特定端口能出網(wǎng)：21、22、80、8888，如下圖。

解決方案： 在寶塔控制面板中沒有找到關(guān)閉防火墻的相關(guān)設(shè)置選項，只能設(shè)置放行端口，不過我們可以使用以下命令來關(guān)閉Centos自帶防火墻，或者使用默認(rèn)規(guī)則中的放行端口進(jìn)行bind_tcp正向連接即可成功獲取會話，可通過這個文件來查看防火墻規(guī)則（/etc/firewalld/zones/public.xml）。

1、查看防火墻狀態(tài)：firewall-cmd --statesystemctl status firewalld.service
2、開啟防火墻：systemctl start firewalld.service
3、臨時關(guān)閉防火墻：systemctl stop firewalld.service
4、永久關(guān)閉防火墻：systemctl disable firewalld.service
5、查看所有放行端口：firewall-cmd--list-port

(6) 反病毒軟件特征查殺或流量檢測

在上傳、執(zhí)行Payload文件時可能會被反病毒軟件的特征、行為、內(nèi)存、流量檢測并查殺，筆者本地測試發(fā)現(xiàn)當(dāng)我們把火絨“黑客入侵?jǐn)r截”或賽門鐵克“Enable Network intrusion prevention”開啟后再執(zhí)行Payload時就會出現(xiàn)發(fā)送stage到目標(biāo)，但無法建立一個完整的會話回來，關(guān)閉后就能立即獲取到目標(biāo)會話，關(guān)于免殺和繞過不在本節(jié)討論范圍內(nèi)。

特征查殺：上傳的Payload以及各種惡意PE文件直接會被攔截并查殺（360殺毒）

流量檢測：成功執(zhí)行Payload并發(fā)送stage到目標(biāo)，但一直卡著不動（ESET NOD32）

(7) IIS應(yīng)用程序池-啟用32位應(yīng)用程序

以往的滲透滲透過程中遇到過在瀏覽器訪問Metasploit的Aspx Payload秒解析，但是沒能獲取會話的情況。 這可能是因為目標(biāo)機器的IIS應(yīng)用程序池中設(shè)置了“啟用32位應(yīng)用程序”選項為True或False了，可以嘗試換到x86/x64的Payload再試試看。

當(dāng)“啟用32位應(yīng)用程序”選項為True時Aspx Payload 32可以獲取會話，64無法獲取會話。

當(dāng)“啟用32位應(yīng)用程序”選項為False時Aspx Payload 64可以獲取會話，32無法獲取會話。

編輯：hfy