CS 上线不出网主机

正向监听上线

该方式利用 hash 传递方式上线，因此需要内网主机账号口令相同才能成功上线。操作步骤如下：

1. 跳板机上线后抓取用户凭证，新建smb监听器

2. 扫描内网主机，选择要进行 psexec 的主机，选择跳板机的会话凭证以及刚才新建的 smb 监听器

3. 成功上线内网不出网主机

Pivoting 中转上线

该方式利用已有会话进行中转，不需要内网主机同账号口令，但需要在内网不出网主机上执行 CS 马。操作步骤如下：

1. 右键点击已上线的跳板机，新建转发

2. 监听地址填不出网网段 IP

3. 生成 beacon，选择刚才创建的监听器

最后将生成的 exe 上传到不出网主机上，运行即可上线。

毒刺中转上线

前面两种方式均需要跳板机是出网主机，如果跳板机不出网（有 webshell），那么就可以使用 Pystinger（毒刺）做 socks 流量转发，然后再上线内网不出网服务器。

操作步骤如下：

1. 获取 webshell

2. 上线 CS 并提权

3. 上传 Pystinger 代理以及 Pystinger 服务端

4. 执行命令启动 Pystinger 服务端

start C:/inetpub/wwwroot/stinger_server.exe 0.0.0.0

5. VPS 作为客户端，执行如下命令

./stinger_client -w http://43.138.25.101:18082/proxy.aspx -l 127.0.0.1 -p 60000

6. CS 新建监听，如果是当前主机不出网，监听地址就填写 127.0.0.1，如果想上线内网其他不出网主机，监听地址就填不出网网段的 IP 地址。

现在想上线内网其他主机，因此监听地址填写 172.16.10.2，端口 60020（默认）

7. 扫描内网主机，利用 hash 传递上线 CS，也可以生成木马，在不出网主机上执行上线。参考前面两种方法。

8. 成功上线内网不出网主机