• XSS.stack #1 – первый литературный журнал от юзеров форума

Как воссановить сессию в metasploit?

Отслеживать

L0NI

floppy-диск
Пользователь
Регистрация
23.08.2023
Сообщения
8
Реакции
0
После перезапуска metasploit пропадают все сессии. Пробовал db_save, session -u, запускал meterpreter с теми самыми lhost lport (use php/meterpreter/reverse_tcp; msf6 payload(php/meterpreter/reverse_tcp) > exploit) что и при получении сессии в первый раз (при эксплуатации), но сессия все равно не приходит, просто бесконечно висит Started reverse TCP handler on *.*.*.*:4444. meterpreter на таргете всё ещё работает и продолжает конектиться к lhost, а значит должен же быть способ восстановить сессию?
 
попробуй поиграйся с настройками в show advanced и запусти задачу в фоне, предварительно настроив на постоянную прослушку.
set exitonsession false

У тебя стагер, увеличь лимиты и слипы.
StagerRetryCount 999
StagerRetryWait 60 или 300
SessionCommunicationTimeout - возможно тут можно поставить 0 для бесконечности или же просто задай сутки в секундах. 60*60*24

Ну и убедись что на клиенте(жертве) исходящее соединение удачно уходит, например если у тебя reverse_tcp то трафик не шифруется и его может увидеть firewall/AV/IPS/EDR и просто блокнуть, тогда лучше попробуй обратный https но у php/meterpreter нет такого пайлода, и вообще возможно версия метера php не очень стабильная
 
Пожалуйста, обратите внимание, что пользователь заблокирован
xargs сказал(а):
попробуй поиграйся с настройками в show advanced и запусти задачу в фоне, предварительно настроив на постоянную прослушку.
set exitonsession false

У тебя стагер, увеличь лимиты и слипы.
StagerRetryCount 999
StagerRetryWait 60 или 300
SessionCommunicationTimeout - возможно тут можно поставить 0 для бесконечности или же просто задай сутки в секундах. 60*60*24

Ну и убедись что на клиенте(жертве) исходящее соединение удачно уходит, например если у тебя reverse_tcp то трафик не шифруется и его может увидеть firewall/AV/IPS/EDR и просто блокнуть, тогда лучше попробуй обратный https но у php/meterpreter нет такого пайлода, и вообще возможно версия метера php не очень стабильная
this is a perfect and correct answer. Otherwise, you can use other stable C2 frameworks like Cobalt Strike or Sliver for long-term access.
 
запусти задачу в фоне
Сессию всегда в background увожу перед выходом из metasploit

set exitonsession false
set exitonsession false
[!] Unknown datastore option: exitonsession.
exitonsession => false

Попробовал set StagerRetryCount 999, set SessionCommunicationTimeout 0 - все равно Started reverse TCP handler on *.*.*.*:4444 и тишина. Metasploit на одну секунду закрыл и сразу опять запустил - всё предыдущие сессии больше не стучат

UPD:
set StagerRetryCount 999
set StagerRetryWait 35
set SessionCommunicationTimeout 86400
не помогло
 
Последнее редактирование:
Ну и убедись что на клиенте(жертве) исходящее соединение удачно уходит, например если у тебя reverse_tcp то трафик не шифруется и его может увидеть firewall/AV/IPS/EDR и просто блокнуть

Все нормально работает до перезапуска msf (буквально 1-2 секунды на это уходит, так что это проблема не с клиентской стороны)
 
Попробуй для другой платформы (кроме php), запусти в винде на виртуалке exe meterpreter, закрой и открой метасплоит и посмотри пропадет ли сессия и как он будет реконнектиться. Если после запуска хендлера meterpreter из exe пейлоада нормально реконнектится значит это странная проблема конкретно с php пейлоадом
 
Последнее редактирование:
Попробуй для другой платформы (кроме php), запусти в винде на виртуалке exe meterpreter, закрой и открой метасплоит и посмотри пропадет ли сессия и как он будет реконнектиться. Если после запуска хендлера meterpreter из exe пейлоада нормально реконнектится значит это странная проблема конкретно с php пейлоадом
Только что попробовал на виртуалке Windwos 10 (windows/x64/meterpreter/reverse_tcp). Перезапустил metasploit, сессия пропала, запустил хендлер и сразу пришло подключение. Возможно правда что-то с php версией не так
 
Можно ли ещё сделать так, чтобы сессии при перезапуске не пропадали (даже если они оффлайн) и соединение автоматически восстанавливалось?
 
dunkel сказал(а):
Еще прочти может поможет https://telegra.ph/Pochemu-umiraet-vasha-sessiya-Meterpreter-Poprobujte-ehti-ispravleniya-01-02
Сессия не закрывается/отпадает. Я когда сам metasploit закрываю (exit -y) а затем запускаю снова, список сессий становиться просто пуст. И не важно сколько времени прошло между завершением работы msf и его повторном запуске
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх