内网渗透工具箱,外网渗透工具

作者：hacker 日期：2023-01-25 分类：网站入侵

Pivoting ，在本手册中，指的是「将一个受害机器转为其他攻击和工具的跳板」。Cobalt Strike 的Beacon 提供了多种 pivoting 选项。前提是 Beacon 处于交互模式。交互模式意味着一个 Beacon 每 秒内多次连接到团队服务器。使用 sleep 0 命令来使你的 Beacon 进入交互模式。

通过 [beacon] → Pivoting → SOCKS Server 来在你的团队服务器上设置一个 SOCKS4a 代理服务 器。或者使用 socks 8080 命令来在端口 8080 上设置一个 SOCKS4a 代理服务器(或者任何其他你想 选择的端口)。

所有经过这些 SOCKS 服务器的连接都将被转变为让相关联 Beacon 执行的连接、读写和关闭任务。你 可以通过任何类型的 Beacon 经由 SOCKS 隧道传输(甚至是一个 SMB Beacon)。

Beacon 的 HTTP 数据通道是响应速度最快的 pivoting 方法。如果你想通过 DNS 中继流量，使用DNS TXT 记录的通信模式。

要查看当前已经配置的 SOCKS 服务器，通过 View → Proxy Pivots 。 使用 socks stop 命令来停用 SOCKS 代理服务器。

proxychains 工具将强制外部程序使用你指定的 SOCKS 代理服务器。你可以使用 proxychains 强制第 三方工具经过 Cobalt Strike 的 SOCKS 服务器。要了解有关 proxychains 的更多信息，请访问:

安装proxychains，配置文件修改如下

pre class="036f-8986-428c-7e2a cm-s-default" style="color: rgb(89, 89, 89); margin: 0px; padding: 0px; background: none 0% 0% / auto repeat scroll padding-box border-box rgba(0, 0, 0, 0);"--- snippet --- [ProxyList] # add proxy here ... # meanwile # defaults set to "tor" socks4 127.0.0.1 8973/pre

过执行代理工具 proxychains，对内网主机 ip 地址为192.168.237.127进行端口探测。执行指令如下所示：

pre class="8986-428c-7e2a-d1da cm-s-default" style="color: rgb(89, 89, 89); margin: 0px; padding: 0px; background: none 0% 0% / auto repeat scroll padding-box border-box rgba(0, 0, 0, 0);" proxychains nmap -sT -Pn 192.168.237.129/pre

然后可以通过代理使用其他的安全工具进行下一步的渗透，如果说有些工具是不支持代理ip的，那么还有方法

Proxifier：

当使用没有代理功能的工具对目标内网进行渗透时，可以使用Proxifier工具能够将程序通过socks代理对内网进行渗透。详细的使用过程如下所示：

打开Proxifier软件，单击Profile-Proxy Server-add 添加本地主机的代理端口。协议选择socks5类型，可以点击check进行测试当前代理是否成功。

这样的配置会让当前所有软件走全局的代理。可以让一些不支持代理功能的软件走代理。

首先，用cs新建一个外部的监听：我这里选用外部http链接。

开启msf，使用exploit/multi/handler模块，设置payload为windows/meterpreter/reverse_http，然后show options 查看需要设置的参数。

注意：payload必须是和cs上设置的监听模块一致。

然后在cs的beacon控制台中直接输入

pre class="428c-7e2a-d1da-b20c cm-s-default" style="color: rgb(89, 89, 89); margin: 0px; padding: 0px; background: none 0% 0% / auto repeat scroll padding-box border-box rgba(0, 0, 0, 0);"spawn msf/pre

过了几秒，msf中就会得到会话

这部分是在msf获取到会话之后，把会话上传到CS上。

首先在CS上新建一个内部监听。

然后在msf中进行配置

首先在msf上面查看要上传·会话的id：（我这里是2）

使用这个exp：exploit/windows/local/payload_inject

设置好参数之后，检查参数时候设置完全和正确。

exploit执行

cs上就会上线了

这两天出文章的速度慢了，是因为我一直在持续的开发和优化知识库，现在知识库上线新的功能GitHub索引，地址是： ，不过现在只能是pc端访问，移动端访问样式会乱掉，因为我前端技术实在是渣渣

首页整理了github上最新流行的趋势。下图是中文趋势

下图是全网趋势

在内网渗透时内网渗透工具箱，通常挂上代理后。在内网首先会打啵ms17-010。在实战中内网渗透工具箱，使用msf内网渗透工具箱的ms17-010模块，数次没有反弹成功。基于此，到底如何成功利用ms17-010

在msf成功接收session之后，添加路由

然后使用ms17-010相关的模块进行探测是否存在该漏洞。

尝试利用

LHOST配置为公网IP

可以看到success。漏洞是可以利用的，但始终没有session。不知道什么原因。

参考资料： 利用公网Msf+MS17010跨网段攻击内网

笔者在本地搭建环境，也是同样的结果。尝试更改payload为

bind_tcp攻击者去连接，容易被防火墙和杀毒发现

可以成功生成session，但并不稳定，且在run的过程中非常容易导致本来的session died

在实际使用msf的ms17_010_eternalblue模块时，笔者观察到有几个弊端。

1.session 很容易died

2.ms17_010_eternalblue模块利用起来非常耗时

3.无法利用成功

有大佬推荐使用原始的fb.py。但配置起来感觉麻烦一些。

所以。笔者从i春秋上找到一个轻便的方程式漏洞利用工具。

参考资料： 萌新初试MS17-010方程式漏洞

工具使用起来很简单。只需要msfvenom生成一个x64或x86的dll文件，替换该工具下的x64.dll或x86.dll 。再依次点击Eternalblue、Doublepulsar 的Attack即可。在Attack的时候，调用x64.dll动态链接库，反弹到公网IP。原理和fb.py一样。

笔者通过ew代理进内网后，在跳板机上上传了方程式漏洞利用工具、网安永恒之蓝检测工具。两者结合，威力巨大。成功利用ms17-010

对于windows server 2008 ，msfvenom生成x64.dll文件

msf配置

将该x64.dll替换到方程式利用工具下面。

只需要更换目标的IP，就可以获取session。

对于windows server 2003 ，msfvenom生成x86.dll文件

msf配置

进一步利用的一些命令

实际测试发现这种session非常稳定。不会轻易go die

实际测试server 2003的ms17-010时，有时候多次执行后msf就接收不到session，而且ms17-010利用时，脆弱的server 2003非常容易蓝屏。

所以笔者选择一种稳定可靠一些的办法。

先通过ms17_010_commend模块执行系统命令添加用户至管理员。再指定SMBPass和SMBUser来建立windows可访问命名管道[accessible named pipe]

参考资料 Metasploit 「永恒之蓝」两种模块的利弊

system的权限可以直接激活guest用户添加管理员组。

注意：使用ms17_010_psexec需要指定管理员的用户名、密码，否则没有session

同样的操作，载入mimikatz，读取管理员密码。

汇总下关于安全的几款必备工具：

Burp Suite 是用于攻击web 应用程序的集成平台，http协议分析神器，里面包括了不少安全必备的功能，重放、爆破、扫描并且支持自定义脚本，实现自己想要的功能。Burp Suite为这些工具设计了许多接口，以加快攻击应用程序的过程。所有工具都共享一个请求，并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。

工具下载地址：

工具运行需要Java环境，请自行安装。

Nmap，也就是Network Mapper，最早是Linux下的网络扫描和嗅探工具包，扫描网络情况和端口开放情况，也可以加载nmap内置的poc脚本发现安全漏洞

官网：

nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统（这是亦称 fingerprinting）。它是网络管理员必用的软件之一，以及用以评估网络系统安全。

正如大多数被用于网络安全的工具，nmap 也是不少黑客及骇客（又称脚本小子）爱用的工具 。系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器，但是黑客会利用nmap来搜集目标电脑的网络设定，从而计划攻击的方法。

Nmap 常被跟评估系统漏洞软件Nessus 混为一谈。Nmap 以隐秘的手法，避开闯入检测系统的监视，并尽可能不影响目标系统的日常操作。

这个主要是利用sql注入漏洞的工具，可以自定义扫描规则和方式，若是通读源码之后对sql注入会有相当深的理解

官网：

这个是域名爆破工具，owasp开发的，该工具采用Go语言开发，它可以通过遍历等形式爬取数据源和Web文档，或利用IP地址来搜索相关的网块和ASN，并利用所有收集到的信息来构建目标网络拓扑。速度和发现都相当不错。

项目地址：

官网

ubuntu下安装命令如下：

Masscan，是 robertdavidgraham 在 Github 上开源的端口扫描工具。

Masscan 性能优越，极限速度可以从单机每秒发送1000万个数据包。Masscan 使用了与另一个著名的扫描工具 —— nmap 类似的命令行参数，方便进行上手使用。

Masscan 针对 TCP 端口进行扫描，使用 SYN 扫描的方式，不建立一个完全的 TCP 连接，而是首先发送一个 SYN 数据包到目标端口，然后等待接收。如果接收到 SYN-ACK 包，则说明该端口是开放的，此时发送一个 RST 结束建立过程即可；否则，若目标返回 RST，则端口不开放。 这个用来发现大规模网络下存活的ip和端口还是不错，配合nmap发现服务可快速扫描网络

项目代码位于

安装 Masscan 可以从源码进行编译，在 Debian/Ubuntu 平台上，使用命令：

编译得到的二进制程序位于子文件夹 masscan/bin。由于代码中包含了大量的小文件，可以开启多线程模式进行编译：

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

下载地址

7、metasploit

Metasploit是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，代码审计，Web应用程序扫描， 社会 工程。团队合作，在Metasploit和综合报告提出了他们的发现。

下载地址

Cobalt Strike是一款基于java的渗透测试神器，常被业界人称为CS神器。自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用，分为客户端与服务端，服务端是一个，客户端可以有多个，非常适合团队协同作战，多个攻击者可以同时连接到一个团队服务器上，共享攻击资源与目标信息和sessions，可模拟APT做模拟对抗，进行内网渗透。

Cobalt Strike集成了端口转发、服务扫描，自动化溢出，多模式端口监听，win exe木马生成，win dll木马生成，java木马生成，office宏病毒生成，木马捆绑；钓鱼攻击包括：站点克隆，目标信息获取，java执行，浏览器自动攻击等等。

mimikatz可以从内存中提取明文密码、哈希、PIN 码和 kerberos 票证。 mimikatz 还可以执行哈希传递、票证传递或构建黄金票证。

下载地址

这个是内网端口转发工具，对于无法出网的端口相当好用。有Windows版和Linux版两个版本，Windows版是lcx.exe,Linux版为portmap。

lcx有两大功能：

代理隧道工具，可以让工具走隧道进入内网环境，配合msf中的代理相当好用

github地址

1.建立文件夹proxychains，并进入下载

2.解压缩

3.进入解压缩后的目录进行安装

4.配置环境变量 打开文件.bashrc

将下面一段话考入该文件

使改变生效

有管理员权限 直接执行以下命令

netcat被誉为网络安全界的‘瑞士军刀’，命令用于设置路由器。 一个简单而有用的工具，透过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具，能够直接由其它程序和脚本轻松驱动。同时，它也是一个功能强大的网络调试和探测工具，能够建立你需要的几乎所有类型的网络连接，还有几个很有意思的内置功能(详情请看下面的使用方法)。

【没有找到该工具logo，随便找一个凑数】

中国蚁剑是一款开源的跨平台网站管理工具，它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。

通俗的讲：中国蚁剑是 一 款比菜刀还牛的shell控制端软件。

唯一官方github下载地址：

嫌弃一个个下载麻烦的同学有福了， 一口君已经下载，并存放在网盘里，

后台回复： 安全工具 即可下载

对渗透中遇到的远控类软件的利用方式整理。

操作系统：windows server 2012

中间件：tomcat

杀软：卫士+杀毒

默认权限：administrator

实战中经常遇到的一款远控软件，用户数量高。

可以通过ID和密码进行无人值守访问。

进程信息：

利用场景：拿到webshell权限，想上线cs，发现主机存在杀软，bypass失败。

通过查看进程信息发现存在Teamviewer。

管理员在线。

利用获取到的密码成功连接到目标主机的桌面。

TeamViewer QuickSupport版

首次运行需要同意协议。

实战使用需要把首次运行同意协议步骤进行绕过，然后上传到目标主机运行，然后抓取密码连接，感兴趣的可以研究下。

利用场景：查看进程发现存在向日葵，寻找配置文件，破解本机验证码，连接向日葵。

进程信息：

向日葵在最近的更新中加强了加密机制，删除了config.ini中的encry_pwd(本机验证码)。

v11.1.2.38529之前的版本，连接信息保存在配置文件中，可进行解密。

向日葵默认配置文件路径:

解密脚本

pip3 install unicorn

利用场景：

1、杀软白名单策略，常规免杀方法无法绕过。

2、存在流量设备，常规frp，nps，cs，reGeorg等被ban，无法带入内网。

向日葵首次运行提示是否安装。

需要鼠标点击以绿色版运行

使用bypass方法绕过，上传SunloginClient.exe到靶机服务器运行。

查看绿色版配置文件

C:\ProgramData\Oray\SunloginClient\config.ini

使用脚本破解encry_pwd

识别码为：165034706

密码为：LlOa4Z

连接成功。

北京金万维科技有限公司开发的一款产品，分为客服端和客户端。

可以通过设置连接密码进行无人值守访问。

进程信息：

配置文件默认路径

uniqueid 为连接的id

connect_password= 为设置的连接密码加密hash

random_password= 为明文连接密码

2个密码都可以连接使用

默认安装后未设置连接密码，不支持无人值守访问。

特点：运行过程中动态加载配置文件

利用方式：直接在配置文件中添加连接密码，进行无人值守访问。

1、设置random_password=666666

重新连接，输入设置的密码信息。

连接成功。

2、设置random_password

本地搭建客户端，设置连接密码999999。

查看本地配置文件中加密后的hash为

connect_password=5eec351934af7678a852ade9efc74133

特点：只在开始运行时加载配置文件

无random_password只能通过修改connect_password连接。

利用方式：结束进程，修改配置文件，重新运行。

1、结束进程

2、修改配置文件内容

connect_password为5eec351934af7678a852ade9efc74133（999999）

3、重新启动即可用密码连接。

1、uac

非server服务器运行向日葵需要bypass uac

2、用户不在线的情况，需要密码登录。

这个点导致利用起来比较鸡肋，适用于隧道流量无法绕过等一些极端情况，可以选择免杀读密码/免杀加用户然后登录。

整理了最近遇到的几个内网远控存在利用的点，利用相对鸡肋，适用于某些极端情况下使用。

最近参与内网渗透比较多内网渗透工具箱，认知到自己在会话维持上过于依赖web服务内网渗透工具箱，web服务一旦关闭，便失去了唯一内网渗透工具箱的入口点。

本次以远程桌面连接来进行说明，介绍几种常用的连接方式。

本次目标主机ip为内网渗透工具箱：172.16.86.153

使用条件：服务器通外网，拥有自己的公网ip

msf是我进行内网渗透中用的最多的工具，它内置了很多强大的功能，用起来相当方便。

msf的meterpreter内置了端口转发功能，可以把内网的端口转发到本地。

转发目标主机的3389远程桌面服务端口到本地的8888，使用linux中的rdesktop连接本地的8888端口。

msf内置了socks模块，在session但基础上配置路由，调用即可使用，但是速度和稳定性都很差，不做详细介绍。

使用条件：服务器通外网，拥有自己的公网ip

lcx是一个经典的端口转发工具，直接把3389转发到公网的vps上。

通过大马上传lcx.exe,执行系统命令，其中1.1.1.1是vps的公网ip。

因为我公网vps使用的是linux的系统，lcx对应linux的工具为portmap 。

p1为监听的端口，p2为转发到的端口。

成功监听到转发出的3389端口。

直接使用远程桌面服务连接1.1.1.1:33889

基于web服务的socks5隧道的优点是，在内网服务器不通外网的情况下也能正常使用。

常用的工具有：reGeorg，reDuh，Tunna和Proxifier。

本次只介绍reGeorg的具体用法。

选择对应脚本的tunnel上传到服务器。

访问上传文件，显示如下表示成功。

打开Proxifier，更改为脚本指定的端口。

本地电脑成功通过socks5带进了目标主机的内网。（若失败，可能是某些防护检测到了异常流量，可采用reDuh）

本地电脑直接远程连接目标主机的内网ip。

使用条件:目标主机通外网，拥有自己的公网ip

选择对应主机操作系统的执行文件。

目标主机为windows系统，选择上传ew_for_Win.exe文件。

公网vps使用ew_for_linux64文件。

首先在公网vps上执行：

-l为Proxifier连接的端口，-e为目标主机和vps的通信端口。

然后在目标主机中执行:

socks5隧道建立成功，成功把自己的主机带进目标内网。

使用Proxifier，配置ip和连接端口。

连接远程桌面成功。

传送门

使用条件:目标主机通外网，拥有自己的公网ip

首先需要在公网服务器搭建服务端，搭建方法参考: 传送门

要注意的是，客户端和服务端的版本号要一致，否则无法正常使用。

对frpc.ini进行配置，为了保证搭建的隧道不对内网渗透工具箱他人恶意利用，加入账户密码进行验证。

上传frpc.exe和frpc.ini到目标服务器上,直接运行frpc.exe（在实战中可能会提示找不到配置文件，需要使用-c参数指定配置文件的路径frpc.exe -c 文件路径）

公网vps主机上运行frps。

隧道建立成功，连接远程桌面。

类似的工具还有：sSocks，Termite等，不需要每种都掌握，有自己用的顺手的就行。

一般在网站服务的web服务关闭后，服务器重启后，大部门后门都会失效，这时需要用到系统服务封装工具。

以NSSM来进行示例，封装frpc为系统服务，建立持久的socks5隧道。

启动nssm图形化界面。

选择想要组册服务的exe应用。

设置服务的名字。直接点击install service，如下表示注册服务成功。

状态设置为启动，重启电脑进行测试，重启后frpc.exe自动运行，成功和frps连接。

本次列举了一些常用的工具，还有很多工具没有列举到，

功能原理都是大同小异，有那么几个用的顺手就好。