不出網主機的幾種上線方式

前言

拿到一臺邊緣機器后，內網的機器很有可能大多數都不出網，這時又想上線cs方便后續操作。本文就如何上線不出網主機的方式進行了總結。

環境搭建

目標內網機器

os：win server 2012
ip：192.168.57.137

邊緣機器

os：win server 2012
ip1：192.168.1.103（出網）
ip2：192.168.57.136

攻擊機器

os：kali liunx
ip：192.168.1.128

os：ubutu 16.04
vps ip：47.xxxxxxxx

由于邊緣主機出網，選擇reverse反向連接，現在已經上線邊緣主機

SMB Beacon

該方法通過已有的父Beacon使用SMB協議進行正向連接不出網機器，要求目標開啟445端口，通過命名管道進行認證即可上線。其實有點像psexec這樣的工具，有用戶名和hash后，即可執行遠程命令，其原理相似。內網的機器密碼相同的情況很多，這也是為什么現在為了提高安全性不能批量設置密碼，內網滲透一但有了密碼往往有時候就宣告結束。

并且有個好處就是SMB協議一般防火墻是不攔截的，在一定程度上可以規避防火墻攔截。

先使用hashdump和logonpasswords命令抓一波密碼。由于這里是win2012系統，是無法直接抓取明文密碼的，這里也不需要去修改注冊表，或者通過mimilib.dll注入的方式去獲取明文密碼，有hash就足夠了，SMB驗證身份本身用的就是NTMLv2協議。

這里是抓到了該機器上的hash

有個小tips，如果對方機器是64位的，最好就用x64的exe上線就可以了，以前我覺得x32和x64都行。雖然都可以上線，但是如果用的是x32的beacon，很有可能是抓不到64位機器上的密碼的，使用cs集成的mimikatz會提示：32位的mimikatz無法抓取到64位機器的密碼。所以目標是最好就用64位就用64位的artifact。

然后通過端口掃描，發現內網機器：

到這里不懂原理的小白(我)可能就會直接使用cs自帶的psexec功能直接去橫向，恰巧我之前就是這么做的，想起來還挺有意思的。

結果就是服務已經創建了，但是上不了線，那會兒自己心里想肯定是cs出bug了，還煩了一會兒，現在想起來還挺有意思的。

本身是沒有問題的，說明psexec已經成功的完成了ntml認證，并且認證成功，但是這時候shell是反彈給邊緣機器的，如果要上線就要再新建一個SMB Beacon Listener。相當于通過邊緣機器再中轉一下，反彈shell到vps。

選擇子Beacon：SMB Beacon。成功上線。

（出去吃個飯回來內網機器ip變了。。）

這里可以看下拓撲圖，是通過邊緣機器正向連接了不出網的內網主機。

在external后面有一個oooo，這實際上是標明了當前SMB的連接狀態：

SMB Beacon有兩個命令：link，unlink。

unlink則會斷開連接，link會重新連接

執行命令unlink

unlink 192.168.57.140

后面的oooo變成了oo oo，說明已經斷開連接，但是只是斷開了連接，進程并沒有被殺掉。

使用命令重新回連：

link 192.168.57.140

我在實戰中暫時沒有用到過這個功能，但應該是有一定作用的，持久化后門，更加隱蔽？這里具體的實戰情景明白的師傅可以說一下。

TCP Beacon

這種方式一般試用于：密碼撞不上，內網機器有web服務。

這里做個代理，假設已經寫入了shell文件，用冰蝎掛代理去連webshell。

在cs上新增一個Listen，Tcp Beacon

橫向的時候最好都使用這個帶s的windows可執行文件，s的含義為Stageless，相對的是Stager。下面是我自己的理解：

Stager是分步式，分階段的，只用少部分代碼來請求和加載payload，cs的加載payload模式為反射加載beacon.dll，但這個beacon.dll并不在可執行文件中，而是在遠程C2服務端。

Stageless則是將beacon.dll包含在可執行文件中，并且可能有寫額外的操作，于是文件比較大，特征也更明顯，但是適合橫向不出網機器，因為不出網所以有可能請求不了c2服務端上的beacon.dll。