CS 上线不出网主机
正向监听上线
该方式利用 hash 传递方式上线,因此需要内网主机账号口令相同才能成功上线。操作步骤如下:
- 跳板机上线后抓取用户凭证,新建smb监听器
- 扫描内网主机,选择要进行 psexec 的主机,选择跳板机的会话凭证以及刚才新建的 smb 监听器
- 成功上线内网不出网主机
Pivoting 中转上线
该方式利用已有会话进行中转,不需要内网主机同账号口令,但需要在内网不出网主机上执行 CS 马。操作步骤如下:
- 右键点击已上线的跳板机,新建转发
- 监听地址填不出网网段 IP
- 生成 beacon,选择刚才创建的监听器
最后将生成的 exe 上传到不出网主机上,运行即可上线。
毒刺中转上线
前面两种方式均需要跳板机是出网主机,如果跳板机不出网(有 webshell),那么就可以使用 Pystinger(毒刺)做 socks 流量转发,然后再上线内网不出网服务器。
操作步骤如下:
- 获取 webshell
- 上线 CS 并提权
- 上传 Pystinger 代理以及 Pystinger 服务端
- 执行命令启动 Pystinger 服务端
start C:/inetpub/wwwroot/stinger_server.exe 0.0.0.0
- VPS 作为客户端,执行如下命令
./stinger_client -w http://43.138.25.101:18082/proxy.aspx -l 127.0.0.1 -p 60000
- CS 新建监听,如果是当前主机不出网,监听地址就填写 127.0.0.1,如果想上线内网其他不出网主机,监听地址就填不出网网段的 IP 地址。
现在想上线内网其他主机,因此监听地址填写 172.16.10.2,端口 60020(默认)
- 扫描内网主机,利用 hash 传递上线 CS,也可以生成木马,在不出网主机上执行上线。参考前面两种方法。
- 成功上线内网不出网主机