Metasploit Framework を用いたペネトレーションテストの世界では、ペイロードとは、脆弱性が正常に悪用された後にターゲットシステム上で実行されるコードのことです。様々な種類のペイロードを理解することは、成功したエンゲージメントのために不可欠です。ペイロードの主なカテゴリは、「ステージング」と「ステージレス」の 2 つです。
ステージングペイロードは、2 つの部分で送信されます。小さめの初期「ステージャー」と、より大きな最終的な「ステージ」です。ステージャーの役割は、攻撃者のマシンへの接続を確立し、その後ペイロードの残りの部分をダウンロードすることです。一方、ステージレスペイロードは、ターゲット上で実行するために必要なすべてのコードを含む、単一の自己完結型パッケージです。
この実験では、両方のタイプを実際に体験します。Metasploit コンソールを使用して各ペイロードタイプを選択し、特にサイズにおける主な違いを観察し、それぞれの利点と欠点について学びます。
このステップでは、Metasploit Framework コンソールを起動し、汎用的なエクスプロイトハンドラーを選択します。次に、一般的なステージングペイロードを使用するように設定します。exploit/multi/handler モジュールを使用するのは、これがユニバーサルリスナーであり、特定の脆弱なターゲットを必要とせずにペイロードを実演するのに最適だからです。
まず、ターミナルを開き、Metasploit コンソールを起動します。起動バナーをスキップするために -q (quiet) フラグを使用します。
msfconsole -qMetasploit プロンプト (msf6 >) が表示されたら、エクスプロイトハンドラーを選択する必要があります。
use exploit/multi/handler次に、ペイロードを設定しましょう。ステージングペイロードの名前は通常 platform/stage/stager という形式でフォーマットされます。例えば、windows/meterpreter/reverse_tcp は、プラットフォームが Windows、最終ペイロード(ステージ)が Meterpreter、初期接続方法(ステージャー)がリバース TCP シェルであることを意味します。
ステージングペイロードを次のコマンドで設定します。
set payload windows/meterpreter/reverse_tcppayload => windows/meterpreter/reverse_tcp という確認メッセージが表示されます。念のため、現在の設定を表示できます。
show optionsオプションの中にペイロードが表示されます。実際にはエクスプロイトを実行していないため、LHOST や LPORT を設定する必要はありません。ペイロードのプロパティを調べているだけです。
msf6 exploit(multi/handler) > show options
Module options (exploit/multi/handler):
Name Current Setting Required Description
---- --------------- -------- -----------
Payload options (windows/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none)
LHOST yes The listen address (an interface may be specified)
LPORT 4444 yes The listen port
Exploit target:
Id Name
-- ----
0 Wildcard Targetこのステップでは、info コマンドを使用して、選択したステージングペイロードの詳細を調べます。最も注目すべき詳細はそのサイズです。
Metasploit コンソールで windows/meterpreter/reverse_tcp ペイロードが選択されたまま、info コマンドを入力します。
infoMetasploit は、ペイロードの名前、プラットフォーム、アーキテクチャ、サイズなど、詳細な情報を表示します。「Payload size」の行を探して出力を見てください。
msf6 exploit(multi/handler) > info
Name: Windows Meterpreter, Reverse TCP Stager
Module: payload/windows/windows/meterpreter/reverse_tcp
Platform: Windows
Arch: x86
Needs Admin: No
Total size: 354
Rank: Normal
Provided by:
skape <stephen_fewer@harmonysecurity.com>
sf <stephen_fewer@harmonysecurity.com>
Basic options:
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none)
LHOST yes The listen address (an interface may be specified)
LPORT 4444 yes The listen port
Description:
Connect back to the attacker and spawn a Meterpreter server (staged).
Listen for a connection from the stager and send the second stage.Total size が非常に小さい(例:354 バイト)ことに注意してください。これがステージングペイロードの主な特徴です。この小さなコード片、つまりステージャーは、あなたのマシンに接続して、はるかに大きな Meterpreter ステージをダウンロードするためだけに設計されています。この小さいサイズは、特定の脆弱性が持つ厳しいメモリ制約に適合させるのに理想的です。
次に、ステージレスペイロードに切り替えて違いを見てみましょう。ステージレスペイロードの名前は通常 platform/payload_type という形式で、2 番目のスラッシュ / の代わりにアンダースコア _ を使用します。この命名規則により、それらを素早く識別できます。
同じ msfconsole セッションで、再度 set payload コマンドを使用しますが、今回はステージレスバージョンである windows/meterpreter_reverse_tcp を指定します。
set payload windows/meterpreter_reverse_tcppayload => windows/meterpreter_reverse_tcp という確認が表示されます。名前にアンダースコアがあることに注意してください。この単一のペイロードには、完全な Meterpreter サーバーと接続ロジックがすべて 1 つのパッケージに含まれています。
設定が変更されたことを確認するために、再度オプションを表示してみましょう。
show options出力には、新しく選択されたステージレスペイロードが反映されます。
msf6 exploit(multi/handler) > show options
Module options (exploit/multi/handler):
Name Current Setting Required Description
---- --------------- -------- -----------
Payload options (windows/meterpreter_reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none)
LHOST yes The listen address (an interface may be specified)
LPORT 4444 yes The listen port
...これで、ステージングペイロードからステージレスペイロードへの切り替えが正常に完了しました。
このステップでは、先ほど選択したステージレスペイロードを調べ、そのサイズをステップ 2 のステージングペイロードと比較します。
これまでと同様に、info コマンドを使用して現在のペイロードの詳細を取得します。
info出力を調べて、「Payload size」の行を見つけます。
msf6 exploit(multi/handler) > info
Name: Windows Meterpreter, Reverse TCP Inline
Module: payload/windows/meterpreter_reverse_tcp
Platform: Windows
Arch: x86
Needs Admin: No
Total size: 999335
Rank: Normal
Provided by:
skape <stephen_fewer@harmonysecurity.com>
sf <stephen_fewer@harmonysecurity.com>
Basic options:
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none)
LHOST yes The listen address (an interface may be specified)
LPORT 4444 yes The listen port
Description:
Connect back to the attacker and spawn a Meterpreter server (inline).
This payload is a single executable and does not need to download a
second stage.ご覧のとおり、Total size はステージングペイロードの数百バイトと比較して劇的に大きくなっています(例:999335 バイト、約 1MB)。これは、ステージレスペイロードが Meterpreter の全機能を含んでいるためです。実行後に何かをダウンロードする必要はありません。
主な違いを確認したので、Metasploit コンソールを終了できます。
exitこの最終ステップでは、ステージングペイロードとステージレスペイロードの両方の利点と欠点をまとめます。これらのトレードオフを理解することは、特定のシナリオに最適なツールを選択するための鍵となります。このステップで実行するコマンドはありません。概念的な理解のためのものです。
windows/meterpreter/reverse_tcp)長所:
短所:
windows/meterpreter_reverse_tcp)長所:
短所:
要約すると、サイズ制限のあるエクスプロイトを扱う場合は、ステージングペイロードを選択する必要があります。信頼性が最優先であり、エクスプロイト手法がより大きなペイロードサイズを処理できる場合は、ステージレスペイロードを選択する必要があります。
この実験では、Metasploit Framework 内のステージングペイロードとステージレスペイロードの根本的な違いを探りました。
まず msfconsole を起動し、ステージングペイロードである windows/meterpreter/reverse_tcp を選択しました。その非常に小さいサイズを観察しましたが、これは軽量なステージャーとして設計されています。次に、そのステージレスの対応するペイロードである windows/meterpreter_reverse_tcp に切り替え、ペイロード全体が単一のパッケージに含まれているため、その著しく大きいサイズに注目しました。
最後に、各タイプの長所と短所をレビューし、それらの間の選択はサイズ、ステルス性、および信頼性の間のトレードオフに関わることを学びました。ステージングペイロードは小さいですが 2 回目の接続が必要であり、ステージレスペイロードは大きいですがより安定しており自己完結型です。この知識は、ペネトレーションテストのエンゲージメント中に効果的な意思決定を行うために不可欠です。
