ブロックされたリバースシェルを検出する
リバースシェルが出力フィルタリングまたは必須プロキシによってブロックされているかどうか、またはエクスプロイトが失敗したかどうかを検出する方法があるかどうか疑問に思っています。
私は、SEメディアがシナリオを削除するという文脈でこの質問をしています。
その実際のテストから直接判断する方法はありません。十分な情報がありません。ただし、エクスプロイトが機能するかどうかは、ターゲットシステムに許可されていることを実行するように指示することで判断できます。たとえば、制御下のWebサーバーを参照します(アウトバウンドWeb接続が許可されていると想定)。 Webページを取得するようにコマンドを実行し、当サイトでヒットした場合、エクスプロイトは機能し、何らかの理由でShellコマンドが機能していないことがわかります。
GdDの回答に加えて、コード/エクスプロイトが実際に実行されたかどうかがわからないため、「ペイロード」にいくつかのことを試してもらいます。さまざまなものが次のいずれかになります。
- システムのブラウザ設定のプロキシを使用してWebページをフェッチします
- 外部アドレスにメールを送信します。
Bluetoothを起動し、可視性を有効にするか、WiFiピアツーピアネットワークを設定すると、感染したコンピューターに近くアクセスできる場合に役立つことがあります。マシンに視覚的にアクセスできる場合は、スクリーンセーバーを変更するだけで、エクスプロイトが成功したことを示している可能性があります。
通常、企業では出力フィルタリングが有効になっているため、シェルをブレークアウトして任意のポートにアクセスすると、うまく機能しない場合があります。