内网渗透-不出网cs的各种姿势(内网穿透)

已于 2024-05-20 17:27:46 修改
阅读量1k 收藏 13
点赞数 26
分类专栏: 网络安全 文章标签: 服务器 运维
于 2024-05-20 16:18:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68976043/article/details/139047619
版权

目录

一、情况一(这里我使用别人的图比较通俗一点)

二、实验环境

2.1 server2012

2.2 win10(业务机)

2.3 kill

三、实验开始

四、上线方式

五、开始横向

六、smd隧道打通了,我们来简单聊一下cs和msf权限传递

​编辑

6.1 环境

6.2开始介绍

七、mimicatz抓取明文密码

一、情况一(这里我使用别人的图比较通俗一点)

这是我们常见的一个内网渗透的架构

web服务器(边缘区域):DMZ区域,这个DMZ区域两块网卡,一块网卡要对外提供相对应的服务

简单来说我们在内网渗透的时候拿下边缘区域的web服务器后,可用其作为代理,去跳板攻击业务(内网机) 

用蜗牛开发者的图来看好像更为简单

EarthWorm

二、实验环境

2.1 server2012

2.2 win10(业务机)

2.3 kill

 

工具cobaltstrike(监听这块功能做一个简单介绍)

Beacon DNS:使用DNS请求和响应进行通信。这种方式隐蔽性强,常用于通过在DNS查询中嵌入数据来绕过网络防御。(种马)

Beacon HTTP:使用HTTP协议进行通信。通过标准的HTTP请求发送和接收数据,适用于允许HTTP流量的环境。(种马)

Beacon HTTPS:与HTTP beacon类似,但使用HTTPS进行加密通信。这增加了一层安全性,使检测更加困难。(种马)

Beacon SMB:使用SMB(服务器消息块)协议进行通信。通常用于在网络中横向移动,利用共享文件夹和网络驱动器。(建立隧道)

Beacon TCP:使用原始TCP连接进行通信。这种方式更加直接,适用于其他协议可能被阻止或监控的情况。(建立隧道)

External C2:允许与外部命令和控制(C2)框架集成。提供了使用自定义通信方法的灵活性。

Foreign HTTP:通过HTTP与C2服务器通信,类似于Beacon HTTP,但设计用于与非Cobalt Strike的C2服务器配合使用。(shell传递)

Foreign HTTPS:与Foreign HTTP类似,但使用HTTPS与非Cobalt Strike的C2服务器进行加密通信。(shell传递)

cs上马后可以把权限传给msf,msf中也可以把权限传给cs

三、实验开始

因为只是在做内网实验,因此跳板机我默认已经拿下,也就是那台server2012,我们直接开始搞内网

启动一下cobaltstrike

建立一个新的监听

生成一个木马

我们假设边缘服务器是拿下的,我们直接上马

成功上线,权限是一个administrator权限

四、上线方式

前面也介绍了SMB,是一个权限传递的技术,详细介绍以及使用方式如下:

介绍

官网介绍:SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons连接后,子Beacon从父Beacon获取到任务并发送。

因为连接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。

使用

这种Beacon要求具有SMB Beacon的主机必须接受端口445上的连接。

派生一个SMB Beacon方法:在Listner生成SMB Beacon>目标主机>右键> spawn >选中对应的Listener>上线

或在Beacon中使用命令spawn smb(smb为我的smb listener名字)

建立smb:

现在内网跟黑洞一样,未知的,不了解内部机器以及域控是什么,在cs内我们可以用nmap,fscan去扫描用nmap的Ss流量能少点,但是这个要root权限,不是那么完美,我们采用cs里面的端口扫描但是这个扫描流量也过大,内网有正常态势感知还是会被发现,可以考虑ping里面的for循环这个流量小,但正常业务ping有可能被禁用掉(dos中的for)

arp方式:先检查arp缓存,没有缓存,广播全F,发送的东西为源ip,源mac,目标ip,目标mac

我内网机器直接被扫描出来了

这是我的业务机很明显129已经上线

此时采用内网横向,因为域环境之复杂和设备之多,所以很多运维人员会将密码设置为同一个,而这大大提高了我们横向渗透的概率,因为cs内部集成了mimicatz,这里我也不详细赘述了之前的黄金票据章节我有详细讲述

可以看到我们hash等一些值已经被抓取出来了

但是明文密码是null有一种方式是hash,因为明文进入win系统也是转hash,hash对比登录的,因此用hash登录横向是完全可以的,因为我们正常登录后的进程是winlogon这个进程是把你账号密码传递给下一个进程lsass.exe,很明显是有这个进程的

这个进程有什么作用呢,winlogon把我们的进程传给lsass.exe这个进程后,会对我们的明文进行加密,加密的算法是ntlmv2,之后加密结束后,会把明文存储一份,之后把明文存到SAM这个文件中,然后mimicatz可以抓取到,那我们第二次登录的时候就会密文比对,最终比对的还是密文,而这个密文是hash我们直接hash登录就可以,还有一种抓取hash方式hashdump

还有一种方式是修改注册表修改目标机器重启或者锁屏,锁屏,具体看下面文章

明文抓取:Win10及2012系统以后的明文抓取方式-安全客 - 安全资讯平台 (anquanke.com)

五、开始横向

直接passhash

当然也可以用kill中脚本,cs提供了自动化

很明显hash登录

建立smd隧道

不出网通过9网段打到内网服务pc124网段,结果如图所示

六、smd隧道打通了,我们来简单聊一下cs和msf权限传递

借用别人的图这样能更清晰点

6.1 环境

msf用kill里面的,其他照常

6.2开始介绍

权限传递就这四个字

kill里面启动msf

委派会话:192.168.9.134是kill的地址

第一步先启动msf服务

开始exploit监听之后

在cs里面选择委派会话

直接权限传递过来

七、mimicatz抓取明文密码

关闭注册表选项

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest" /v UseLogonCredential /t REG_DWORD /d 1 /f

在我上面推荐的文章中有锁屏ps1代码,锁屏后,重新登录,再次运行mimicatz即可抓取,因为版本限制在win10或2012R2以上,我刚好是2012R2因此这里我就不进行过多展示了原理如上所述

凌晨五点的星
关注
  • 26
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
隧道代理技术(十八)之 上线不出机器
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
09-01 335
上线不出机器是我们常见的问题,如何在内中实现不出机器的上线呢,我们分为了如下的形式,根据之前所学的内容我们开始进行实验,常见的络拓扑如下:一般渗透的场景是这样的,黑客拥有一台黑客机器,还有一台位于公的VPS机器,这两台机器均可以访问互联,而目标公司分为两个区域,A区域和B区域,A区域的电脑无论是访问互联,还是互联访问他,都是可以访问的,但是B区域的电脑由于在内环境,被做了限制,不能直接访问互联环境,只能访问公司内部的机器,比如A区域的Web服务器或者同样存在于B区域内的其他主机。
内网渗透不出上线CS
最新发布
qq_64302290的博客
05-25 1148
cs是一款强大的控制windows木马的工具。是目前渗透中常使用的一个工具。
记一次内网渗透
chengfangang的专栏
01-15 1298
前言 一客户,指定要给其公司做安全测试可从络层面做,也可以人肉社工 :-) 对于一个小清新来说,怎么可以做人肉社工呢,要是把对方公司的妹子骗走怎么办,于是果断交给单身的同事去做了。 自己默默的看站,客户扔过来的一个域名,域名是a.com,其他什么信息都没有。 信息收集 Google搜了下,得到了一批二级域名;开起kali用fierce来一轮 域名枚举 ,成功枚举出某域名下的
内网渗透之MSF&CS
weixin_54855337的博客
02-18 841
内网渗透,流量转发,隧道搭建
横向渗透神器-CS
qq_39756628的博客
06-22 2435
简介: Cobaltstrike是内横向渗透中团队作战神器,也被称为CS,目前已有4.1版本,本文这里提供v4.0下载链接:https://gitee.com/yaogodv/cobaltstrike4.0/tree/master/cobaltstrike4.0 一、CS服务器启动: 以本地kali(192.168.3.134)为服务器,进入相应目录,直接运行: ./teamserver 192.168.3. 134 ztf 二、本地客户端连接: 直接启动start.bat,需要有java的环境,没
使用CS进行域渗透
kukudeshuo的博客
08-17 1841
使用CS进行域渗透 实验拓扑 实验环境 kali:NAT模式(192.168.109.128) win7: 卡1:VMNET2模式,连接内(10.1.1.150) 卡2:NAT模式,连接外(192.168.109.162) win2003:VMNET2模式,为内主机(10.1.1.200) winserver2008:WMNET2模式,为内主机(10.1.1.100) 首先需要将winserver2008部署为域控服务器,然后让win7和win2003加入该域 winserver2008部署域
实现类似花生壳功能的实现内网穿透服务V3.0.rar
03-26
实现类似花生壳内网穿透服务 server.exe 放到阿里云或者云平台等服务器上 ,打开端口 client.exe 放在应用软件同一个电脑或者同一个局域内 该软件有两个配置信息 服务器:填写server.exe所在电脑的的ip:端口 应用...
XNat内网穿透核心库1
08-03
第一步,我先架设了一套基于 P2PVM 隧道的通讯协议,这是 CS 的,我直接抄写了 ZServer4D 第二步,定义数据结构,我需要把服务器侦听的协议端口和客
Z1-AggressorScripts:适用于Cobalt Strike的插件
04-30
内网穿透模块新增支持nps。 frp由之前的upx压缩版本换成未压缩版,upx压缩后的frp32位和nps都会在360上报毒,索性全部换成原版。但是这就项目导致体积由20几M增加到了30几M,强烈建议到下载发行版压缩文件。 windows...
P2P之UDP穿透NAT的原理与C#实现(源码和描述)
02-19
标题中的“P2P之UDP穿透NAT的原理与C#实现”主要涉及两个关键概念:P2P(peer-to-peer)络技术和UDP(User Datagram Protocol)在NAT(Network Address Translation)环境下的穿透技术。这里我们将深入探讨这两个...
PC客户端(cs架构)渗透测试
06-19
PC客户端(cs架构)渗透测试,本项目主要针对pc客户端(cs架构)渗透测试,结合自身测试经验和络资料形成checklist,如有任何问题,欢迎联系,期待大家贡献更多的技巧和案例。
FrpClient-Win-master.rar
11-14
Frp是一款强大的内网穿透工具,允许用户将内服务暴露到公,实现远程访问。在本压缩包中,我们可以看到一个针对Windows平台优化的Frp客户端实现。 1. **Frp介绍** Frp由Golang编写,设计目标是提供简单、高效的...
渗透工具CS安装
不眠的博客
06-08 1560
CS是一个常用的渗透测试工具,全称为“Cobalt Strike”,它是一款针对渗透测试和红队操作而设计的工具,主要用于模拟攻击和检测络安全漏洞。使用CS进行渗透测试需要遵守相关法律法规和道德规范,否则将会产生严重后果。将下载的cs,将文件夹上传到 vps中或者kali。执行teamserver文件,安装启动cs服务端。cs服务端:kaili或者vps。0x4.cs客户端启动。cs客户端:win11。解压密码123456。配置环境Java环境。
渗透工具——cs(Cobalt Strike)简介
2301_78006725的博客
09-09 3102
CS 是Cobalt Strike的简称,是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。3、Cobalt Strike可以引用其他的通讯框架ExternalC2,ExternalC2是由Cobalt Strike提出的一套规范/框架,它允许黑客根据需要对框架提供的默认HTTP(S)/DNS/SMB C2 通信通道进行扩展。Desktop(VNC) #桌面交互。
最全渗透测试实战-CS工具使用_kali如何用cs,重磅来袭
2401_84141304的博客
05-12 612
rwxrwxrwx 1 777 kali 791099 6月 9 2022 CSAgent.jar-rwxrwxrwx 1 777 kali 217 6月 9 2022 peclonedrwxrwxrwx 2 777 kali 4096 9月 10 09:51 resourcesdrwxrwxrwx 2 777 kali 4096 9月 10 09:51 scripts。
内网渗透之CobaltStrike(CS
Welcome To Myon'Blog !
01-10 1997
Cobalt Strike是一款内网渗透测试工具,常被业界人称为CS。Cobalt Strike 2.0版本主要是结合Metasploit可以称为图形化MSF工具。而Cobalt Strike 3.0已经不再使用Metasploit框架而作为一个独立的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。客户端模式和服务端模式可以在Windows以及Linux上运行这里要注意服务端模式在Windows下运行时有可能会出现一些细小的问题不过影响不大。
渗透测试实战-CS工具使用_kali如何用cs(1),络安全高频面试题+解析
sfdsfgdgd的博客
04-09 1078
外链图片转存中…(img-LcbS3hv0-1712637557490)]
内网渗透-cobaltstrike之cs上线获取shell
lza20001103的博客
04-30 6894
cobaltstrike之cs上线获取shell
内网渗透--ICMP隧道
05-16
ICMP隧道是一种利用Internet控制消息协议(ICMP)的技术,将其他协议的数据包封装在ICMP数据包中,从而在不被检测的情况下在络中传输数据。对于内网渗透而言,ICMP隧道可以用于将攻击者的数据从受害主机中转出,绕过防火墙和其他络安全设备的检测和过滤。 ICMP隧道的实现需要两个端点:一个客户端和一个服务器端。客户端将要传输的数据封装在ICMP数据包中发送给服务器端,服务器端接收到ICMP数据包后解析其中的数据,然后将数据还原成原始数据包,再转发给目标主机。通过这种方式,攻击者可以在内中传输各种类型的数据,包括命令和控制信息。 然而,ICMP隧道也有缺点。由于ICMP数据包通常被认为是络的一部分,因此可能不会被络安全设备视为可疑流量。然而,如果攻击者的络流量被监测到,这种技术可能被检测出来,因此需要谨慎使用。此外,ICMP隧道还可能会导致络延迟和丢包等问题,影响传输速度和数据完整性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值