p
SSL-инспекция включена
Size: a a a
2020 March 03
SS
Я бы смотрел в эту сторону
p
Тут правильно вам подсветили
Другие сигнатуры в этом профиле отрабатывают!
p
Между этими же хостами
SS
А какая версия meterpreter?
EO
SSL инспекция наверняка только для external интерфейсов
SS
Точнее metasploit
p
относительно свежая
p
metasploit v5.0.68-dev
p
Сигнатуры эти были выпущены до выхода 5-й версии
EO
У меня, кстати, был кейс, когда свежий эксплойт bluekeep скачал с exploit_db. И он работал, IPS не ловил. В саппорт написал, мол у вас есть сигнатура, а не отрабатывает. Мне ответили, что мол это какой-то новый подвид эксплойта и они еще не апдейтили сигнатуру
p
Дык может эскалировать тикет дальше? Пусть запилят новую
p
Каждый школьник использует метасплойт
EO
да, как вариант
SS
Возможно были изменены методы инкапсуляции или построения сессии
p
Снял tcpdump-ом дамп трафика - сессия выглядит примерно так:
SS
Буду у компьютера, смогу посмотреть
p
p
Даже без SSL - видимо какой-то бинарный протокол использует
SS
У меня в dev версии был баг, когда я не мог сгенерировать никакой пэйлоад, кроме meterpreter. Я имею ввиду, что мне нужен был raw shellcode, а на выходе я всегда получал meterpreter